発見日: January 26, 2005
更新日: September 18, 2008 9:42:50 AM
影響を受けるシステム: Windows

W32.Beagle.AZ@mm は、ファイル共有ネットワークを介しても拡散する、大量メール送信ワームです。また、セキュリティ設定を低度に変更し、リモートファイルをダウンロードをしようとします。

発見日: January 26, 2005
更新日: September 18, 2008 9:42:50 AM
影響を受けるシステム: Windows

W32.Beagle.AZ@mm は、ファイル共有ネットワークを介しても拡散する、大量メール送信ワームです。セキュリティ設定を低度に変更し、リモートファイルのダウンロードをしようとします。

このワームは、実行時に、次のファイルを作成します。
%System%\sysformat.exe
%System%\sysformat.exeopen
%System%\sysformat.exeopenopen

その後、Windows 起動毎に自分自身を実行するために、次のレジストリエントリを作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"sysformat" = "%System%\sysformat.exe"

また、次のレジストリエントリを作成します。
HKEY_CURRENT_USER\Software\Microsoft\Params\"Riga" = "[ランダムな値]"

その後、Windows 起動時にに他のマルウェアの起動を妨げるために、次のレジストリエントリを削除しようとします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\My AV HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\My AV
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ICQ Net HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ICQ Net

自分自身を唯一の実行インスタンスにするために、また感染コンピュータ上でワームの Netsky ファミリー亜種の実行を妨げるために、次のミューテックスを追加します。
MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

侵入先のコンピュータの次の拡張子を持つファイルから電子メールアドレスを検索します。
.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

このワームは、次のいずれかの文字列を含むアドレスへは電子メールメッセージを送信しません。
@microsoft
rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

この電子メールメッセージの通常の仕様です。
差出人: (詐称されています)

件名: (次のうち、いずれか)
Delivery service mail
Delivery by mail
Registration is accepted
Is delivered mail
You are made active

本文: (次のうち、いずれか)
Thanks for use of our software.
Before use read the help

添付ファイル名:(次のうち、いずれか)
wsd01
viupd02
siupd02
guupd02
zupd02
upd02
Jol03

添付ファイルの拡張子:(次のうち、いずれか)
.exe
.scr
.com
.cpl

このワームは、フォルダ名に文字列 "SHAR" を含むすべてのフォルダへ、自分自身を次のファイル名のうちのいずれか 1 つを利用してコピーしようとします。
1.exe
2.exe
3.exe
4.exe
5.scr
6.exe
7.exe
8.exe
9.exe
10.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe

次に、ウイルス対策またはセキュリティアプリケーションに関連付けられた、次のプロセスを終了しようとします。
alogserv.exe
APVXDWIN.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
Avconsol.exe
AVENGINE.EXE
AVPUPD.EXE
Avsynmgr.exe
AVWUPD32.EXE
AVXQUAR.EXE
bawindo.exe
blackd.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccPxySvc.exe
CFIAUDIT.EXE
DefWatch.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
FrameworkService.exe
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
LUCOMS~1.EXE
mcagent.exe
mcshield.exe
MCUPDATE.EXE
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
NISUM.EXE
nopdb.exe
NPROTECT.EXE
NUPGRADE.EXE
OUTPOST.EXE
PavFires.exe
pavProxy.exe
pavsrv50.exe
Rtvscan.exe
RuLaunch.exe
SAVScan.exe
SHSTAT.EXE
SNDSrvc.exe
symlcsvc.exe
UPDATE.EXE
UpdaterUI.exe
Vshwin32.exe
VsStat.exe
VsTskMgr.exe

またこのワームは、次の URL から 1 ファイルをダウンロードし、それを %System%\re_file.exe として保存しようとする可能性があります。
http://www.pyrlandia-boogie.pl/error.jpg
http://www.kps4parents.com/error.jpg
http://www.pipni.cz/error.jpg
http://www.selu.edu/error.jpg
http://www.travelchronic.de/error.jpg
http://www.fleigutaetscher.ch/error.jpg
http://www.irakli.org/error.jpg
http://www.oboe-online.com/error.jpg
http://www.oboe-online.com/error.jpg
http://www.pe-sh.com/error.jpg
http://www.idb-group.net/error.jpg
http://www.ceskyhosting.cz/error.jpg
http://www.ceskyhosting.cz/error.jpg
http://www.hartacorporation.com/error.jpg
http://www.glass.la/error.jpg
http://www.glass.la/error.jpg
http://www.24-7-transportation.com/error.jpg
http://www.fepese.ufsc.br/error.jpg
http://www.ellarouge.com.au/error.jpg
http://www.bbsh.org/error.jpg
http://www.boneheadmusic.com/error.jpg
http://www.sljinc.com/error.jpg
http://www.tivogoddess.com/error.jpg
http://www.fcpages.com/error.jpg
http://www.szantomierz.art.pl/error.jpg
http://www.elenalazar.com/error.jpg
http://www.generationnow.net/error.jpg
http://www.flashcorp.com/error.jpg
http://www.kencorbett.com/error.jpg
http://www.FritoPie.NET/error.jpg
http://www.leonhendrix.com/error.jpg
http://www.transportation.gov.bh/error.jpg
http://www.transportation.gov.bh/error.jpg
http://www.jhaforpresident.7p.com/error.jpg
http://www.DarrkSydebaby.com/error.jpg
http://www.cntv.info/error.jpg
http://www.sugardas.lt/error.jpg
http://www.adhdtests.com/error.jpg
http://www.argontech.net/error.jpg
http://www.customloyal.com/error.jpg
http://www.ohiolimo.com/error.jpg
http://www.topko.sk/error.jpg
http://www.ssmifc.ca/error.jpg
http://www.reliance-yachts.com/error.jpg
http://www.worest.com.ar/error.jpg
http://www.kps4parents.com/error.jpg
http://www.coolfreepages.com/error.jpg
http://www.scanex-medical.fi/error.jpg
http://www.jimvann.com/error.jpg
http://www.orari.net/error.jpg
http://www.himpsi.org/error.jpg
http://www.mtfdesign.com/error.jpg
http://www.jldr.ca/error.jpg
http://www.relocationflorida.com/error.jpg
http://www.rentalstation.com/error.jpg
http://www.approved1stmortgage.com/error.jpg
http://www.velezcourtesymanagement.com/error.jpg
http://www.sunassetholdings.com/error.jpg
http://www.compsolutionstore.com/error.jpg
http://www.uhcc.com/error.jpg
http://www.justrepublicans.com/error.jpg
http://www.pfadfinder-leobersdorf.com/error.jpg
http://www.featech.com/error.jpg
http://www.vinirforge.com/error.jpg
http://www.magicbottle.com.tw/error.jpg
http://www.giantrevenue.com/error.jpg
http://www.couponcapital.net/error.jpg
http://www.crystalrose.ca/error.jpg
http://www.bottombouncer.com/error.jpg
http://www.anthonyflanagan.com/error.jpg
http://www.bradster.com/error.jpg
http://www.traverse.com/error.jpg
http://www.ims-i.com/error.jpg
http://www.realgps.com/error.jpg
http://www.aviation-center.de/error.jpg
http://www.gci-bln.de/error.jpg
http://www.pankration.com/error.jpg
http://www.jansenboiler.com/error.jpg
http://www.corpsite.com/error.jpg
http://www.everett.wednet.edu/error.jpg
http://www.onepositiveplace.org/error.jpg
http://www.raecoinc.com/error.jpg
http://www.wwwebad.com/error.jpg
http://www.corpsite.com/error.jpg
http://www.wwwebmaster.com/error.jpg
http://www.wwwebad.com/error.jpg
http://www.dragcar.com/error.jpg
http://www.wwwebad.com/error.jpg
http://www.oohlala-kirkland.com/error.jpg
http://www.calderwoodinn.com/error.jpg
http://www.buddyboymusic.com/error.jpg
http://www.smacgreetings.com/error.jpg
http://www.tkd2xcell.com/error.jpg
http://www.curtmarsh.com/error.jpg
http://www.dontbeaweekendparent.com/error.jpg
http://www.soloconsulting.com/error.jpg
http://www.lasermach.com/error.jpg
http://www.alupass.lu/error.jpg
http://www.sigi.lu/error.jpg
http://www.redlightpictures.com/error.jpg
http://www.irinaswelt.de/error.jpg
http://www.bueroservice-it.de/error.jpg
http://www.kranenberg.de/error.jpg
http://www.kranenberg.de/error.jpg
http://www.the-fabulous-lions.de/error.jpg
http://www.the-fabulous-lions.de/error.jpg
http://www.mongolische-renner.de/error.jpg
http://www.mongolische-renner.de/error.jpg
http://www.capri-frames.de/error.jpg
http://www.capri-frames.de/error.jpg
http://www.aimcenter.net/error.jpg
http://www.boneheadmusic.com/error.jpg
http://www.fludir.is/error.jpg
http://www.sljinc.com/error.jpg
http://www.tivogoddess.com/error.jpg
http://www.fcpages.com/error.jpg
http://www.andara.com/error.jpg
http://www.freeservers.com/error.jpg
http://www.programmierung2000.de/error.jpg
http://www.asianfestival.nl/error.jpg
http://www.aviation-center.de/error.jpg
http://www.gci-bln.de/error.jpg
http://www.mass-i.kiev.ua/error.jpg
http://www.jasnet.pl/error.jpg
http://www.atlantisteste.hpg.com.br/error.jpg
http://www.fludir.is/error.jpg
http://www.rieraquadros.com.br/error.jpg
http://www.metal.pl/error.jpg
http://www.handsforhealth.com/error.jpg
http://www.angelartsanctuary.com/error.jpg
http://www.firstnightoceancounty.org/error.jpg
http://www.chinasenfa.com/error.jpg
http://www.chinasenfa.com/error.jpg
http://www.ulpiano.org/error.jpg
http://www.gamp.pl/error.jpg
http://www.vikingpc.pl/error.jpg
http://www.woundedshepherds.com/error.jpg
http://www.cpc.adv.br/error.jpg
http://www.velocityprint.com/error.jpg
http://www.esperanzaparalafamilia.com/error.jpg
http://www.celula.com.mx/error.jpg
http://www.mexis.com/error.jpg
http://www.wecompete.com/error.jpg
http://www.vbw.info/error.jpg
http://www.gfn.org/error.jpg
http://www.aegee.org/error.jpg
http://www.deadrobot.com/error.jpg
http://www.cscliberec.cz/error.jpg
http://www.ecofotos.com.br/error.jpg
http://www.amanit.ru/error.jpg
http://www.bga-gsm.ru/error.jpg
http://www.innnewport.com/error.jpg
http://www.knicks.nl/error.jpg
http://www.srg-neuburg.de/error.jpg
http://www.mepmh.de/error.jpg
http://www.mepbisu.de/error.jpg
http://www.kradtraining.de/error.jpg
http://www.polizeimotorrad.de/error.jpg
http://www.sea.bz.it/error.jpg
http://www.uslungiarue.it/error.jpg
http://www.gcnet.ru/error.jpg
http://www.aimcenter.net/error.jpg
http://www.vandermost.de/error.jpg
http://www.vandermost.de/error.jpg
http://www.szantomierz.art.pl/error.jpg
http://www.immonaut.sk/error.jpg
http://www.eurostavba.sk/error.jpg
http://www.spadochron.pl/error.jpg