ウイルス名 |
Win32.HLLM.Beagle.34304
|
発見日 |
2005/03/02
|
| 対応日 |
2005/03/02 00:18:34
|
| 種 類 |
ワーム |
| 別 名 |
W32.Beagle.BH@mm, WORM_BAGLE.BE |
| 対 象 |
Windows
95/98/Me/NT/2000/XP |
| 危険度 |
高 |
| 感染経路 |
電子メール |
| 概 要 |
Win32.HLLM.Beagle.34304は感染したコンピュータで、収集したメールアドレスにワームのコピーを添付したメールを送信し感染拡大を試みます。
|
| 詳 細 |
当ワームは感染したコンピュータのWindowsシステムフォルダに次のようなファイルを作成します。
windlhhl.exe
* Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。
Windows起動時に自動的にワームが実行されるように、次のようにレジストリを書き換えます。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Ru1n
erghgjhgdr = Windowsシステムフォルダ\windlhhl.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ru1n
erghgjhgdr = Windowsシステムフォルダ\windlhhl.exe
* Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。
当ワームはWin32.HLLM.Netsky(Netskyウイルス及びその亜種)が実行されることを防ぐため次のようなミューテックスを作成します。
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
'D'r'o'p'p'e'd'S'k'y'N'e't'
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
当ワームは感染したコンピュータにて、Windows起動時にセキュリティ関連のアプリケーションが起動しないように、次のようなレジストリを削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Ru1n
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Ru1n
My AV
Zone Labs Client Ex
9XHtProtect
Antivirus
Special Firewall Service
service
Tiny AV
ICQNet
HtProtect
NetDy
Jammer2nd
FirewallSvr
MsInfo
SysMonXP
EasyAV
PandaAVEngine
Norton Antivirus AV
KasperskyAVEng
SkynetsRevenge
ICQ Net
当ワームは感染したコンピュータのWindowsのアドレス帳にあるメールアドレスを収集します。
また、次のWebサイトからメールアドレスを含むeml.exeをダウンロードしようと試みます。
http:<省略>careers.com/z/sss2.php
当ワームは収集したメールアドレスに次のようなSMTPサーバを利用して、ワームを添付したメールを送信しようと試みます。
次のSMTPサーバにアクセスできない場合、独自のSMTPエンジンを利用してメールを送信します。
smtp.earthlink.net
当ワームは次のようなメールを送信します。
差出人:偽装します
件名:次の中からランダムに選択されます
price
new price
本文:次の中からランダムに選択されます
本文にパスワードが含まれている場合があります
New price
price
The password is
Password:
Pass -
Password -
添付ファイル:
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price_08.zip
price_new.zip
price2.zip
当ワームは感染したコンピュータのMXサーバの情報を収集します。
MXサーバが利用できない場合、TCP53 ポートを利用して次のDNSサーバに接続します。
217.5.97.137
当ワームはバックドア機能があり、TCP80 ポートを開いて、リモートユーザーにファイルをアップロードさせます。
また、TCP80 ポートを開いて、次のWebサイトからre_file.exeというファイルをダウンロードしようと試みます。
ダウンロードに成功すると、当ファイルをWindowsシステムフォルダに保存します。
http://localhost/script1.php
* Windowsシステムフォルダは標準では、
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)または
C:\Windows\System32 (Windows XP)です。
|
| 駆除方法 |
ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態へアップデートして下さい。
メモリ&ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって書き換えられたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し
表示された画面に"regedit"と入力後、「OK」をクリックしますと起動します。
|
| 参 照 |
当ワームはWin32.HLLM.Beagle.15872、Win32.HLLM.Strato.16896、 Win32.HLLM.Beagle.28160、Win32.HLLM.Beagle.32256、 Win32.HLLM.Beagle.22016、Win32.HLLM.Beagle.based、 Win32.HLLM.Beagle.47616、Win32.HLLM.Beagle.61440、 Win32.HLLM.Beagle.49152、Win32.HLLM.Beagle.18432、 Win32.HLLM.Beagle.57450、Win32.HLLM.Beagle.37964、 Win32.HLLM.Beagle.61440、Win32.HLLM.Beagle、 Win32.HLLM.Beagle.22528、Win32.HLLM.Beagle.25088、Win32.HLLM.Beagle.9728、Win32.HLLM.Beagle.18688、Win32.HLLM.Beagle.18848、Win32.HLLM.Beagle.18336の亜種です。
|
