Bagle

2004(平成16)年1月18日(米国時間)頃に出現し、瞬く間に感染が拡大したトロイの木馬型ワーム。

Network Associates Technologyは "W32/Bagle.*@MM"、Symantecは "W32.Beagle.*@mm"、Trend Microは "WORM_BAGLE.*" と呼んでいる(*は亜種を表わす文字)。Bagle/Baegleと二種類のスペルで呼ばれている。

感染後はレジストリを書き換え、自動起動するように環境を改変する。そしてハードディスクの中などに含まれるファイルからメールアドレスを拾い出し、内蔵された独自のSMTPを使い、自分を添付した電子メールを送信する。また外部から侵入可能とするバックドアを仕掛ける。また "Shar" が含まれるフォルダーに自分自身を複製し、KaZaAやiMeshなどのP2Pファイル共有での拡散も試みる。

現時点ではB〜Z、AA〜ADの亜種の存在が知られ、次々に新種が誕生している。これは、MyDoomとBagleとNetskyの各ワーム作者間で罵り合いがあり、その影響で次々と亜種がネットで蔓延することになったためである。ワームの内部に、Netskyを誹謗するメッセージが含まれている。

このワームは丁寧にも動作終了日時が決まっており、その日時をすぎると感染時に作成したレジストリ削除を含めたアンインストール作業を行なうように作られている。最初は活動期間が短かったが、Netskyの作者に負け犬と罵られたのが癪に障ったらしく、それ以降は活動期間が1年以上になっている。

ワームの本種(A)は、題名が "Hi" で、添付ファイルは任意の名前のEXEファイルである。バックドアは6777/tcpである。2004(平成16)年1月28日に活動を停止する。

Bagle.Bは題名は任意、添付ファイルは任意の名前のEXEファイルである。バックドアは8866/tcpである。

Bagle.Cは題名は任意、添付ファイルは任意の名前の自分自身を圧縮したZIPファイル(15,994バイト)である。バックドアは2745/tcpで、以降の亜種でも変化が無い。2004(平成16)年3月14日に活動を停止する。

Bagle.DはBagle.Cの修正版で、動作はBagle.Cと同等である。

Bagle.EもBagle.Cに似ているが、添付ファイルのサイズが変化する。2004(平成16)年3月25日に活動を停止する。

Bagle.Fは題名は任意、添付ファイルはEXE、SCR、または自分自身を圧縮したZIPファイルである。P2Pファイル共有からも感染する機能が搭載された。2004(平成16)年3月25日に活動を停止する。

Bagle.GはBagle.Fの修正版で、動作はBagle.Fと同一である。

Bagle.Hは題名は任意、添付ファイルは任意の名前、任意の5桁パスワードで自分自身を圧縮した暗号化ZIPファイルである。パスワードはメールの本文に書かれており、復号し、梱包されているEXEファイルを実行すると感染する。2005(平成17)年3月25日に活動を停止する。

Bagle.IはBagle.Hの修正版で、動作はBagle.Hと同一である。

Bagle.JはBagle.FやHに近い亜種と考えられる。Bagle.Hと同様に暗号化されたZIPファイルに加え、EXEファイルやPIFファイルとして自分を添付するのが特徴である。2005(平成17)年4月25日に活動を停止する。

Bagle.KはBagle.Jに近い亜種と考えられる。From(送信者)として自分のISPのサポートを騙るのが特徴。2004(平成16)年3月3日に発見され、2005(平成17)年4月25日に活動を停止する。

Bagle.LはBagle.Kの修正版で、動作はBagle.Kと同一である。

通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)