発見日: September 30, 2002
更新日: February 13, 2007 11:41:46 AM
別名: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
種別: Worm
感染サイズ: 50,688 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154



注意: 報告件数が減少したため、Symantec Security Response は2003年1月15日付で W32.Bugbear@mm の危険度を 4 から 3 に引き下げました。


W32.Bugbear@mm は大量メール送信ワームです。このワームはネットワークの共有を介して感染を広げる能力を持っています。また、キーストロークのログ生成機能やバックドア機能も持っています。このワームは様々なウイルス対策プログラムやファイアウォールプログラムのプロセスを停止させようとします。

このワームはネットワーク資源を正しく処理しないため、結果的に共有プリンタの資源を溢れさせ、無意味なデータが印刷されたり、プリンタが正常に動作しなくなるおそれがあります。

このワームは Microsoft Visual C/C++ 6 プログラム言語で書かれており、UPX v0.76.1-1.22 で圧縮されています。

ウイルス対策日

  • Rapid Release 初回バージョン September 30, 2002
  • Rapid Release 最新バージョン November 26, 2017 リビジョン 020
  • Daily Certified 初回バージョン September 30, 2002
  • Daily Certified 最新バージョン November 27, 2017 リビジョン 001
  • Weekly Certified 初回リリース日 September 30, 2002

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Yana Liu

発見日: September 30, 2002
更新日: February 13, 2007 11:41:46 AM
別名: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
種別: Worm
感染サイズ: 50,688 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154


W32.Bugbear@mm が実行されると、次のことを行います。

自分自身を C:\%System%\????.exe としてコピーします。ファイル名の中の ? 部分にはワームによって選択された文字が入ります。


注意: %system% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。システムフォルダは、標準では、C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、 C:\Windows\System32 (Windows XP) です。


ワームはスタートアップフォルダに自分自身を ???.exe としてコピーします。ファイル名の中の?部分にはワームによって選択された文字が入ります。例えば:
  • ワームが Windows 95/98/Me システム上で実行された場合、自分自身を C:\WINDOWS\Start Menu\Programs\Startup\Cuu.EXE としてコピーします。
  • ワームが Windows NT/2000/XP システム上で実行された場合、自分自身を C:\Documents and Settings\<現在のユーザ名>\Start Menu\Programs\Startup\Cti.EXE としてコピーします。

ワームは %system% フォルダに 3 つの暗号化された .dll ファイルを、また%windir% フォルダに 2 つの暗号化された .dat ファイルをそれぞれ作成します。作成されるファイルのうち 1 つには、バックドア・コンポーネントとの接続を確立するために必要なパスワードが含まれています。また別の .dll ファイルの 1 つは、ワームがフック・プロシージャをフックチェーンにインストールしてキーボードやマウスのメッセージを監視する目的で使用されます。キーボードのフックプロシージャはメッセージを処理し、フック情報を現在のフックチェーン内の次のフック・プロシージャに渡します。インストールされる .dll のファイルサイズは 5,632 バイトです。シマンテックのウイルス対策製品はそのファイルを PWS.Hooker.Trojan として検出します。下図は、このファイルの実行メカニズムの一例を示しています。



傍受されるキーストローク情報には、ログインの詳細情報、パスワード、クレジットカード番号などの可能性があります。以後、その情報がセキュアなチャンネル経由で暗号化された状態で転送された場合でも、傍受されたキーストローク情報はハッカーの手に渡る可能性があります。

シマンテックのウイルス対策製品では検出されないファイルは無害です。ワームはそれらのファイルを内部構成情報を暗号化して保存するために使用します。コンピュータが W32.Bugbear@mm に感染した場合、これらのファイルを手動で削除してください。以下はワームが作成するファイルの一例です。
  • %system%\Iccyoa.dll
  • %system%\Lgguqaa.dll
  • %system%\Roomuaa.dll
  • %windir%\Okkqsa.dat
  • %windir%\Ussiwa.dat


注意: %Windir% は可変です。このワームは \Windowsフォルダ(標準では C:\Windowsまたは C:\Winnt) を探し出し、その場所にファイルを作成します。


ワームは次の値を

<ランダムな文字> <ワームのファイル名>

次のレジストリキーに作成します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce


注意: 通常、システム起動時にこれらの値が参照しているプログラムが起動するとすぐに、このキーに登録されている値はすべてオペレーティングシステムによって自動的に削除されます。その場合、ワームは値を再度作成することで、Windows 起動時に毎回、自分自身が起動されるように設定します。


このワームは 4 つのメインスレッドを作成します。1 つ目のスレッドは、30 秒ごとに活性化し、次のうち動作中のプロセスを停止させます。
  • Zonealarm.exe
  • Wfindv32.exe
  • Webscanx.exe
  • Vsstat.exe
  • Vshwin32.exe
  • Vsecomr.exe
  • Vscan40.exe
  • Vettray.exe
  • Vet95.exe
  • Tds2-Nt.exe
  • Tds2-98.exe
  • Tca.exe
  • Tbscan.exe
  • Sweep95.exe
  • Sphinx.exe
  • Smc.exe
  • Serv95.exe
  • Scrscan.exe
  • Scanpm.exe
  • Scan95.exe
  • Scan32.exe
  • Safeweb.exe
  • Rescue.exe
  • Rav7win.exe
  • Rav7.exe
  • Persfw.exe
  • Pcfwallicon.exe
  • Pccwin98.exe
  • Pavw.exe
  • Pavsched.exe
  • Pavcl.exe
  • Padmin.exe
  • Outpost.exe
  • Nvc95.exe
  • Nupgrade.exe
  • Normist.exe
  • Nmain.exe
  • Nisum.exe
  • Navwnt.exe
  • Navw32.exe
  • Navnt.exe
  • Navlu32.exe
  • Navapw32.exe
  • N32scanw.exe
  • Mpftray.exe
  • Moolive.exe
  • Luall.exe
  • Lookout.exe
  • Lockdown2000.exe
  • Jedi.exe
  • Iomon98.exe
  • Iface.exe
  • Icsuppnt.exe
  • Icsupp95.exe
  • Icmon.exe
  • Icloadnt.exe
  • Icload95.exe
  • Ibmavsp.exe
  • Ibmasn.exe
  • Iamserv.exe
  • Iamapp.exe
  • Frw.exe
  • Fprot.exe
  • Fp-Win.exe
  • Findviru.exe
  • F-Stopw.exe
  • F-Prot95.exe
  • F-Prot.exe
  • F-Agnt95.exe
  • Espwatch.exe
  • Esafe.exe
  • Ecengine.exe
  • Dvp95_0.exe
  • Dvp95.exe
  • Cleaner3.exe
  • Cleaner.exe
  • Claw95cf.exe
  • Claw95.exe
  • Cfinet32.exe
  • Cfinet.exe
  • Cfiaudit.exe
  • Cfiadmin.exe
  • Blackice.exe
  • Blackd.exe
  • Avwupd32.exe
  • Avwin95.exe
  • Avsched32.exe
  • Avpupd.exe
  • Avptc32.exe
  • Avpm.exe
  • Avpdos32.exe
  • Avpcc.exe
  • Avp32.exe
  • Avp.exe
  • Avnt.exe
  • Avkserv.exe
  • Avgctrl.exe
  • Ave32.exe
  • Avconsol.exe
  • Autodown.exe
  • Apvxdwin.exe
  • Anti-Trojan.exe
  • Ackwin32.exe
  • _Avpm.exe
  • _Avpcc.exe
  • _Avp32.exe

ワームはどのバージョンの OS が動作しているかを判断し、そのバージョンによって異なるルーチンを使用します。

2 つ目のスレッドは、大量メール送信処理を行います。このスレッドは現在受信トレイに保存されているメールアドレスと、次の拡張子を持つファイルに含まれているメールアドレスを探します。
  • .mmf
  • .nch
  • .mbx
  • .eml
  • .tbb
  • .dbx
  • .ocs

ワームは次のレジストリキーから現在のユーザのメールアドレスと SMTP サーバーを取り出します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

次に、ワームは発見したメールアドレスに独自の SMTP エンジンを使って自分自身をメールで送信します。このワームは、感染したコンピュータから取得した情報をもとにメールの[差出人]欄に表示するアドレスを作成する能力も持っています。例えば、感染先のコンピュータ上で a@a.com、 b@b.com、c@c.com というメールアドレスを発見した場合、ワームは a@a.com 宛ての電子メールを作成し、差出人フィールドに表示されるアドレスを詐称して、そのメールが c@b.com から届いたものに見えるようにする可能性があります。詐称されるアドレスには、システム上で発見した有効なメールアドレスが使用される可能性もあります。

メール件名には、次のリストからいずれかが選択されます。また、ワームは感染先システム上にある既存のメッセージに対する返信あるいは転送メールを新たに作成し、そのメールにワームファイルを添付して送信する可能性があります。
  • Greets!
  • Get 8 FREE issues - no risk!
  • Hi!
  • Your News Alert
  • $150 FREE Bonus!
  • Re:
  • Your Gift
  • New bonus in your cash account
  • Tools For Your Online Business
  • Daily Email Reminder
  • News
  • free shipping!
  • its easy
  • Warning!
  • SCAM alert!!!
  • Sponsors needed
  • new reading
  • CALL FOR INFORMATION!
  • 25 merchants and rising
  • Cows
  • My eBay ads
  • empty account
  • Market Update Report
  • click on this!
  • fantastic
  • wow!
  • bad news
  • Lost & Found
  • New Contests
  • Today Only
  • Get a FREE gift!
  • Membership Confirmation
  • Report
  • Please Help...
  • Stats
  • I need help about script!!!
  • Interesting...
  • Introduction
  • various
  • Announcement
  • history screen
  • Correction of errors
  • Just a reminder
  • Payment notices
  • hmm..
  • update
  • Hello!

ワームは、次のレジストリキーの Personal 値の内容を調べ、

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

その場所(標準では、Windows 95/98/Me上では C:\My Documents、Windows NT/2000/XP上では C:\Documents and Settings\<ユーザ名>\My Documents)に保存されているファイルを列挙します。このようにして取得したファイル名は、ワームの添付ファイル名を作成するときに使用される可能性があります。また、添付されるファイル名は次のいずれかの単語で構成されることがあります。
  • readme
  • Setup
  • Card
  • Docs
  • news
  • image
  • images
  • pics
  • resume
  • photo
  • video
  • music
  • song
  • data

ファイル名の拡張子は、次のいずれかになります。
  • .scr
  • .pif
  • .exe

My Documents フォルダから取り出したファイル名を使用する場合、 ワームはメッセージの contents type をそのファイルの拡張子に合うように変更します。以下は、そのとき解析される拡張子のリストです。
  • .reg
  • .ini
  • .bat
  • .diz
  • .txt
  • .cpp
  • .html
  • .htm
  • .jpeg
  • .jpg
  • .gif
  • .cpl
  • .dll
  • .vxd
  • .sys
  • .com
  • .exe
  • .bmp

作成されるメッセージの content type は次のいずれかに変更されます。
  • text/html
  • text/plain
  • application/octet-stream
  • image/jpeg
  • image/gif

ワームが作成するメールは、脆弱なシステム上で添付ファイルが自動的に実行されるようにするために「 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する 」という脆弱性を利用してもしなくても作成されます。この脆弱性についての詳しい情報は下記のページをご覧ください。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

3 つ目のスレッドは、バックドア・ルーチンです。このスレッドは port 36794 を開き、ハッカーからの指令を待機します。ハッカーがコマンドを送信することにより、ワームに実行させることが可能な操作は以下のとおりです。
  • ファイルの削除
  • プロセスの停止
  • プロセスのリストを作成し、ハッカーへ送信
  • ファイルのコピー
  • プロセスの起動
  • ファイルのリストを作成を作成し、ハッカーへ送信
  • 傍受したキーストロークのログをハッカーに送信(暗号化した形で)。その結果、コンピュータに入力された秘匿情報(パスワード、ログイン情報など)が漏洩するおそれがあります。
  • システム情報を次の形式でハッカーへ送信

    • ユーザ: <ユーザ名>
    • プロセッサ: <使用されているプロセッサの種類>
    • Windows バージョン: <Windowsのバージョン、ビルド番号>
    • メモリ情報 : <使用可能なメモリサイズなど>
    • ローカルドライブとそのタイプ (固定/リムーバブル/RAM ディスク/CD-ROM/リモート等), およびその物理的な特徴

  • ネットワーク資源とその種類のリストを作成し、ハッカーへ送信

オペレーティングシステムが Windows 95/98/Me の場合、ワームはローカルコンピュータ上にキャッシュされているパスワード情報を入手しようとします。キャッシュされているパスワードにはモデムおよびダイアルアップ接続パスワード、 URL パスワード、共有パスワードなどがあります。この操作は WNetEnumCachedPasswords という、 Windows95/98/Me バージョンの Mpr.dll ファイルにのみ存在する非公式の関数を使って行われます。

このワームのバックドア・コンポーネントは、認証パスワード、コマンド、(必要な場合のみ)コマンド・パラメータの順に入力されたコマンドのみを受け付けます。例えば、"i"コマンドはパラメータを必要としません。以下は、"i"コマンドを実行した場合の返信例です。

Server: '<ISCHIA>'
User: 'Ischia'
Processor: I586
Win32 on Windows 95 v4.10 build 1998
-
Memory: 127M in use: 50% Page file: 1920M free: 1878M
C:\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968
D:\ - CD-ROM

Network:
unknow cont (null) (Microsoft Network)
unknow cont (null) (Microsoft Family Logon)

"h" コマンドはポート番号をパラメータとして含んでいます。このコマンドは、バックドア・コンポーネントにそのポートを開き、HTTP Get リクエスト形式で転送されるコマンドを待機させます。リクエストを受け取ると、バックドア・コンポーネントはそれを解析し、処理した後、その結果を HTML 形式のページとして返します。これは、ハッカーが侵入先コンピュータの資源を簡単に閲覧するための手段となっています。例えば、"Ischia"という名前のコンピュータにバックドアがインストールされている場合、そのコンピュータの情報がリモートから次のように表示されるおそれがあります。





リモート側のユーザは、ファイルを侵入先コンピュータにファイルをアップロードすることができます。リモート側のユーザが上図のような画面上でテキストファイルをクリックした場合、その内容がブラウザウィンドウに表示されます。あるいは、ブラウザウィンドウからファイルをダウンロードしてそれを関連付けられているアプリケーションで開くこともできます。

4 つ目のワームスレッドはネットワークに渡って増殖活動を行います。ワームはまず、ネットワーク内にあるすべての資源を列挙します。オープンになっている administrator 共有を発見すると、自分自身をリモートコンピュータの Startup フォルダにコピーしようとします。その結果、ネットワークに接続しているコンピュータが再起動されたときに、それらのコンピュータすべてに感染してしまうことになります。


このワームはネットワーク資源のタイプを正しく処理しないため、結果的に共有プリンタの資源を溢れさせ、無意味なデータが印刷されたり、共有プリンタが正常に動作しなくなるおそれがあります。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Yana Liu

発見日: September 30, 2002
更新日: February 13, 2007 11:41:46 AM
別名: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]
種別: Worm
感染サイズ: 50,688 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154


重要-最初にお読みください-

  • ネットワークに接続して作業している場合、あるいは、DSL やケーブルモデム等を使ってインターネットに常時接続している場合、コンピュータをネットワークまたはインターネットとの接続をいったん切り、有効になっていたファイル共有を無効にするか、そのファイル共有にパスワードを設定するか、あるいは読み取り専用に設定してください。このワームはネットワーク接続しているコンピュータ上で共有されているフォルダを使って感染します。したがって、ワームの再感染を防ぐためには、ワームの駆除が終わった後で、共有フォルダへのアクセスは読み取り専用のみに限定するか、あるいはパスワードを設定しておくことをお勧めします。具体的な設定手順については、WindowsのマニュアルあるいはドキュメントHow to configure shared Windows folders for maximum network protection(英語)をご覧ください。
  • ネットワーク上の感染ファイルを駆除する場合は、駆除作業を始める前に必ず、すべての共有を無効にするか、あるいは読み取り専用に設定してください。

W32.Bugbear@mm 駆除ツールを使って駆除する方法:
駆除ツールを使用することでこのリスクを容易に駆除することができます。Symantec Security Response は
W32.Bugbear@mm 駆除ツール を開発しました。駆除ツールを入手するには こちら をクリックしてください。


手動駆除方法

駆除ツールを使う代わりに、手動でもこのリスクを駆除することができます。

以下の手順は、Symantec AntiVrus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。
    1. ウイルス定義を最新版に更新します。
    2. コンピュータをセーフモードで起動します。
    3. システム全体のスキャンを実行し、W32.Bugbear@mm として検出されたファイルをすべて削除します。
    4. ワームが次のレジストリキーに追加した値を削除します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

具体的な手順については、以下のセクションをご覧ください。

1. ウイルス定義を更新する


注意: ワームがコンピュータ上で動作中の場合、LiveUpdateを実行できません。その場合はIntelligent Updaterを通じてウイルス定義をダウンロードしてください。


ウイルス定義を最新版に更新します。最新版のウイルス定義は次の2通りの方法で入手することができます。
  • LiveUpdate を実行する方法:
    シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑える事ができます。

    LiveUpdate のウイルス定義は、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。

    このウイルスへの対応は、ページ上部に記載の「
    対応日(LiveUpdate)」欄の日付をご覧ください。
  • Intelligent Updater を使用してウイルス定義をダウンロードする方法:
    Intelligent Updater は、.シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。

    Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされています。Intelligent Updater 形式のウイルス定義は LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。

    このウイルスへの対応は、ページ上部に記載の「
    対応日(Intelligent Updater)」欄の日付をご覧ください。

    注意: Intelligent Updater は、ウイルス定義とスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義の更新を行い、疑わしいファイルからウイルスを検知出来ない場合などに、Intelligent Updater でウイルス定義を更新する事をお薦めします。


    Intelligent Updater のウイルス定義は、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

2. コンピュータをセーフモードで再起動するには:
Windows NT を除くすべてのWindows 32 ビット OS はセーフモードで起動することができます。詳しくは、次のうち、ご使用の OS に該当するドキュメントをご覧ください。

3. 感染ファイルを探して削除する
4. レジストリから値を削除する

注意: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「 レジストリのバックアップ方法 」をお読みください。

    1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。[ファイル名を指定して実行]ダイアログボックスが表示されます。

    2. regedit と入力し、[OK] をクリックします。レジストリ エディタが開きます。

    3. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    4. 画面右側で、W32.Bugbear@mm として検出されたファイルを参照している行を探して削除します。

    5. レジストリエディタを終了します。

記述: Yana Liu