ウイルス情報　｜　製品紹介　｜　無料ダウンロード　｜　セキュリティBOX　｜　サポート情報

W32/Bugbear.b@MM (バグベアー・ビー） 種別 ： インターネットワーム 危険度 ： 中 主な発病 ： 大量メール送信/キー入力した情報の漏洩/セキュリティ対策ソフトの強制終了 発見日時 ： 2003年6月4日 「McAfee.com ウイルススキャンオンライン」で検出・駆除可能。 W32/Bugbear.b@MMウイルスとは？ eメールとネットワーク共有を使って感染を広げます。 このウイルスは、「トロイの木馬」と呼ばれるハッキングツールをパソコンにインストールします。この「トロイの木馬」には、キーボード入力されたキーを記録する特徴があるので、パスワードやクレジットカード番号などの情報が盗まれる危険があります。またセキュリティ対策ソフトを強制終了させることがあります。 感染した場合の症状 ■ 大量メール送信 ■ 共有ネットワークによる繁殖 ■ キー入力した情報の漏洩 ■ セキュリティ対策ソフトの強制終了 対処方法 「McAfee.com ウイルススキャンオンライン」は、すでにこのウイルスに対応済みです。アップデートがお済みでない方は、すみやかにアップデートしてください。 【アップデート方法】 1. 画面右下のタスクトレイのアイコンをダブルクリックし、「McAfee.com セキュリティ・センター」を起動します。 2. 画面上の[アップデート]ボタンをクリックします。 3. 次の画面の[今すぐ確認する]をクリックします。 4. アップデートがお済みでない場合は、アップデートを開始する画面が表示されます。画面の指示に従ってアップデート操作を行なってください。アップデートがお済みの場合には「ご使用のMcAfee.com製品は、すべて最新です」と表示されます。 　 スキャンエンジン4.1.60以上、ウイルス定義ファイル4.0.4270以上でこのウイルスに対応します 　 　 　 バージョン情報の確認方法はこちら ウイルス詳細情報 W32/Bugbear.b@MMはいくつかの要素を持つ複雑なウイルスです。 ■ 大量メール送信 　 ・このウイルスは、パソコン内に登録されているeメールアドレス（送信先アドレス、差出人アドレスの両方）宛てにウイルスのコピーを送信します。 ・送信者のアドレスは偽装されることがあります。 ・下記の文字列を含むファイルからeメールアドレスを抽出して、ウイルスメールを送信します。 * .DBX * .EML * INBOX * .MBX * .MMF * .NCH * .ODS * .TBB ・メッセージの送信には、インターネットアカウントマネージャに指定されているデフォルトのSMTPサーバーが使われます。 * HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager ・件名：　以下のものがあります。これ以外の件名がランダムに作成されることもあります。 * 25 merchants and rising * Announcement * bad news * CALL FOR INFORMATION! * click on this! * Correction of errors * Cows * Daily Email Reminder * empty account * fantastic * free shipping! * Get 8 FREE issues - no risk! * Get a FREE gift! * Greets! * Hello! * Hi! * history screen * hmm.. * I need help about script!!! * Interesting... * Introduction * its easy * Just a reminder * Lost & Found * Market Update Report * Membership Confirmation * My eBay ads * New bonus in your cash account * New Contests * new reading * News * Payment notices * Please Help... * Re: $150 FREE Bonus! * Report * SCAM alert!!! * Sponsors needed * Stats * Today Only * Tools For Your Online Business * update * various * Warning! * wow! * Your Gift * Your News Alert メールの本文：　不定です。また受信者のシステム内のファイルの断片によって構成されている場合もあります。 添付ファイル名：　以下の文字列を含んでいる可能性があります。 * Card * Docs * image * images * music * news * photo * pics * readme * resume * Setup * song * video ・添付ファイルの拡張子：　以下のいずれかです。 * .exe * .pif * .scr ・添付ファイル名も、以下のレジストリの個人フォルダ内のファイルから取得されることがあります。 * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal ・ また添付ファイルの拡張子にはユーザーをあざむくための二重拡張子（例：XXX.doc.pif)が使われます。このウイルスはInternet Explorer（5.01または5.5 SP2なし）の「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」の脆弱性を悪用しています。 　 ■ インストール 　 ・ W32/Bugbear.b@MMはスタートアップフォルダにランダムなファイル名でウイルスのコピーを作成します。 例： * Windows 98: \C:\WINDOWS\Start Menu\Programs\Startup\BSFS.EXE * Windows 2000 Professional : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\BSFS.EXE 　 ■ 共有ネットワークによる繁殖 　 W32/Bugbear.b@MMは共有ネットワークを通してスタートアップフォルダにウイルスのコピーを作成しようとします。ファイル名には .EXE の拡張子が付きます。 　 ■ キーストロークの漏洩 　 ・W32/Bugbear.b@MMはキーストロークを取得するキーロガーDLLをダウンロードします。このDLLは.dll拡張子の付いたランダムな7文字の名前で、システムフォルダに格納されます。 ・また、似たような名前を持つファイルがあと2つ同じ場所に格納されます。このファイルの中には、取得されて暗号化された情報が入っています。 ・サイズの小さい、.datファイルがウィンドウズフォルダに格納されます。 　 ■ リモートアクセス型トロイの木馬の実行 　 W32/Bugbear.b@MMはハッカーに感染システムへアクセスさせるために、TCPポート1080でコマンドを取得します。 　 ■ パラサイト型ファイル感染 　 ・W32/Bugbear.b@MMは特定の実行ファイルを感染させようとします。 ・W32/Bugbear.b@MMはレジストリからプログラムファイルディレクトリへのパスを取得します。 * HKEY_LOCAL_MACHINE\SOFTWAR\ｴMicrosoft\Windows\CurrentVersion\ProgramFilesDir ・以下のファイルへの感染を試みます。 * hh.exe * mplayer.exe * notepad.exe * regedit.exe * scandskw.exe * winhelp.exe * ACDSee32ｴACDSee32.exe * AdobeｴAcrobat 4.0ｴReaderｴAcroRd32.exe * adobeｴacrobat5.0ｴreaderｴacrord32.exe * AIM95ｴaim.exe * CuteFTPｴcutftp32.exe * DAPｴDAP.exe * FarｴFar.exe * ICQｴIcq.exe * Internet Explorerｴiexplore.exe * kazaaｴkazaa.exe * LavasoftｴAd-aware 6ｴAd-aware.exe * MSN Messengerｴmsnmsgr.exe * Outlook Expressｴmsimn.exe * QuickTimeｴQuickTimePlayer.exe * RealｴRealPlayerｴrealplay.exe * StreamCastｴMorpheusｴMorpheus.exe * TrillianｴTrillian.exe * Winampｴwinamp.exe * Windows Media Playerｴmplayer2.exe * WinRARｴWinRAR.exe * winzipｴwinzip32.exe * WS_FTPｴWS_FTP95.exe * Zone LabsｴZoneAlarmｴZoneAlarm.exe 　 ■ セキュリティ対策ソフトの強制終了 　 以下のセキュリティプログラムを停止させようとします。 * ACKWIN32.exe * ANTI-TROJAN.exe * APVXDWIN.exe * AUTODOWN.exe * AVCONSOL.exe * AVE32.exe * AVGCTRL.exe * AVKSERV.exe * AVNT.exe * AVP32.exe * AVP32.exe * AVPCC.exe * AVPCC.exe * AVPDOS32.exe * AVPM.exe * AVPM.exe * AVPTC32.exe * AVPUPD.exe * AVSCHED32.exe * AVWIN95.exe * AVWUPD32.exe * BLACKD.exe * BLACKICE.exe * CFIADMIN.exe * CFIAUDIT.exe * CFINET.exe * CFINET32.exe * CLAW95.exe * CLAW95CF.exe * CLEANER.exe * CLEANER3.exe * DVP95.exe * DVP95_0.exe * ECENGINE.exe * ESAFE.exe * ESPWATCH.exe * F-AGNT95.exe * FINDVIRU.exe * FPROT.exe * F-PROT.exe * F-PROT95.exe * F-STOPW.exe * IAMAPP.exe * IAMSERV.exe * IBMASN.exe * IBMAVSP.exe * ICLOAD95.exe * ICLOADNT.exe * ICMON.exe * ICSUPP95.exe * ICSUPPNT.exe * IFACE.exe * IOMON98.exe * JEDI.exe * LOCKDOWN2000.exe * LOOKOUT.exe * LUALL.exe * MOOLIVE.exe * MPFTRAY.exe * N32SCANW.exe * NAVAPW32.exe * NAVLU32.exe * NAVNT.exe * NAVW32.exe * NAVWNT.exe * NISUM.exe * NMAIN.exe * NORMIST.exe * NUPGRADE.exe * NVC95.exe * OUTPOST.exe * PADMIN.exe * PAVCL.exe * PAVSCHED.exe * PAVW.exe * PCCWIN98.exe * PCFWALLICON.exe * PERSFW.exe * RAV7.exe * RAV7WIN.exe * RESCUE.exe * SAFEWEB.exe * SCAN32.exe * SCAN95.exe * SCANPM.exe * SCRSCAN.exe * SERV95.exe * SPHINX.exe * SWEEP95.exe * TBSCAN.exe * TDS2-98.exe * TDS2-NT.exe * VET95.exe * VETTRAY.exe * VSCAN40.exe * VSECOMR.exe * VSHWIN32.exe * VSSTAT.exe * WEBSCANX.exe * WFINDV32.exe * ZONEALARM.exe

Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.