またまたBagleに亜種、例によって「なりすまし」で感染拡大

[ITmedia]

　米国時間の9月28日から29日にかけて、Bagleウイルスの新たな亜種が感染を広め始めた。これを受けてウイルス対策ベンダー各社では定義ファイルを更新し、警戒を呼びかけている。

　「Bagle.AS（F-Secure）」「W32/Bagle.BB.worm（Panda）」「Bagle.az@MM（マカフィー）」「W32.Beagle.AR@mm（Symantec）」、あるいは「WORM_BAGLE.AM（Trendmicro）」などと称されているこの亜種（ここではマカフィーの名称を取ってBagle.azとする）は、例によって電子メール経由で感染を広めている。

　Bagle.azが送りつけるメールのタイトルは、ただの「Re:」や「Re: Hello」「Re: Thank you!」で、本文も「:)」「:)))」といったスマイリーマークのみ。ありがちなタイトルに加え、これも毎度おなじみの手口だが差出人を詐称することによって「price」「Joke」といった名称の添付ファイルを実行させようとする。

　もし感染してしまうと、自身をローカルディスクにコピーし、ウイルス対策ソフトやファイアウォールのプロセスを停止しようと試みるほか、バックドアを仕掛け、TCP 81およびUDPポートで待ちうけを行うということだ。またKazaaなどP2Pファイル共有ソフト経由でも感染を広めようとするという。

　さらにマカフィーの情報によると、Bagle.azはいくつかのWebサイト（現時点では存在しない）にアクセスし、「WS.JPG」という名称のファイルの読み込みを試みるという。WindowsのGDI+の脆弱性が指摘され、JPEGファイルを悪用したウイルス登場の懸念が高まっていることを踏まえると、興味深い挙動だ。

　各社ではこの亜種に対する警戒を強めている。手元のウイルス対策ソフトウェアを、手動更新などの方法を用いて最新の状態に保つとともに、不用意に添付ファイルを実行しないように注意したい。