しばらく鳴りをひそめていたBagleワームが活動を再開したと、フィンランドのセキュリティ企業F-Secureが11月30日、ブログで報告した。
F-Secureによれば、過去のBagleワームのアップデートURLが同日有効になり、新しい実行ファイルを拡散させているという。
このファイルは過去のBagle亜種に感染したマシンにダウンロードされ、実行されると添付ファイル付きの感染メールを送信する。添付ファイルには価格表を装った名称が付いている。
感染メールに含まれるGIFには、ZIPファイルを解凍するためのパスワードが記載されおり、ユーザーが添付ファイルを解凍して実行すると、ワームがNotepadまたはRegistry Editorを実行する。Notepadには「UTF-8 decoding error」という偽のエラーメッセージが表示されるという。
F-Secureでは管理者に対し、ファイアウォールのログで「www.bronko-m.ru」と「bpsbillboards.com」への不審な動きがないかどうかを調べ、このURLへのアクセスを遮断するよう勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.