またもや登場したBagleの新亜種、今度は悪意あるコードをダウンロード

[高橋睦美，ITmedia]

　災害は忘れたころにやってくるというが、ワームにも同じことが言えるかもしれない。8月31日から9月1日にかけてBagleワームの新たな亜種が拡散を開始し、北米やヨーロッパで被害を広げている模様だ。トレンドマイクロではこのワームに対する警戒度を上げ、イエローアラートを発した。

　この亜種の名称は、例によってメーカーごとに異なっており「BAGLE.AI（トレンドマイクロ）」「BagleDl-A（Sophos）」「W32/Bagle.dll.dr（McAfee）」、あるいは「Download.Ject.D（シマンテック）」などと呼ばれている。

　このワームは、「foto」という題名の電子メールに添付されたZipファイルの形で感染を広めている。このZipファイルを解凍し、中のHTMLファイルを開いてしまうと感染してしまい、Windowsのシステムフォルダ直下に「DORIOT.EXE」と「GDQFW.EXE」というファイルが作成されるほか、レジストリにも改変が加えられる。そして、ウイルス対策ソフトウェアのプロセスを強制終了させるほか、自身のSMTPエンジンを通じて自らを添付したメールをばら撒いている模様だ。

　このBagle亜種はさらに、130以上に上るWebサイトに6時間ごとにアクセスして、悪意あるプログラムのダウンロード／アップデートを試みるという。Sophosはこの状況について、「悪意あるコードが容易に、しかも定期的にアップデートされることを意味している。このトロイの木馬の大規模な拡散によって、さらなる攻撃の種が蒔かれている」とコメントしている。

　「多くの企業の電子メールゲートウェイでこのトロイの木馬が報告されている」（Sophos）というヨーロッパや北米などの感染状況に比べ、国内での感染数はまだ少ないと見られるが、ウイルス対策ソフトのアップデートやゲートウェイ部分でのフィルタリングといった対策を取って警戒すべきだろう。