W32/Bugbear-A

ワームの除去方法をご覧ください。

駆除を行うためにコンピュータに W32/Bugbear-A の IDE ファイルをインストールします。

Windows 95/98/Me

Windows 95/98 マシンをご使用の場合には、スタート - シャットダウンを選択し、「DOS モードで再起動」を選択します。 Windows Me をご使用の場合にはスタートアップディスクを作成し、その後、このディスクで再起動します。

コマンドプロンプトにて以下のように入力します：

C:
CD ￥PROGRA~1￥SOPHOS~1
SWEEP C: -REMOVEF

ワームのファイルを削除するか聞かれた場合には削除します。もう一度上記のコマンドを実行し、ワームが完全に除去されたかを確認します。この作業を他のハードドライブに対しても行います。
（例： D ドライブの場合には SWEEP D: - REMOVEF と入力します。）

マシンを再起動し、Windows 上で再度スキャンを実行します。

Windows NT/2000/XP

現在ログインしているユーザーはログオフし、ローカルアドミニストレータでログインします。 Ctrl + Alt + Delete キーを同時に押します。「タスクマネージャ」ボタンをクリックし、「プロセスタブ」を選択します。任意の4文字で構成されるプロセス名を探します。このプロセスをハイライトし、「プロセスの終了」をクリックします。（どのプロセスかわからない場合ば、 Sophos Anti-Virus でスキャンを実行します。この時、感染したファイル名を記録しておきます。感染したファイル名のうち一つがプロセス名と同じ名前であることが想定されます。） タスクバーで、 スタート - プログラム - Sophos Anti-Virus を選択し、「Sophos Anti-Virus」プログラムを実行します。 すべての W32/Bugbear-A ファイルを削除します。

他のプラットフォーム

ワームの除去方法を参照してください。

注意：W32/Bugbear-A はキーのログを含みます。パスワードやユーザー名、また他の内部情報として保持すべき情報に関して変更を行います。

またワームは System ディレクトリに任意の名前で2つの DLL ファイルを作成します。これにはワームによって寄せ集められたデータを含んでいます。しかし、これらは感染するものではありません。 Sophos Anti-Virus はこれらのファイルは検出しません。これらのファイルが不必要である場合には削除します。（これらのファイルは残しておいても危険性を伴うものではありません。）

また弊社では W32/Bugbear-A に対する 無償駆除ツールをリリース致しました。

詳細情報：W32/Bugbear-A に対する保護方法の詳細は、W32/Bugbear-A：情報、保護、駆除ツールをご覧ください。

W32/Bugbear-A はネットワーク感染型ワームです。 W32/Bugbear-A は添付ファイルを含んだ電子メールを送信する、また自分自身をコピーすることができるネットワークの共有リソースを見つけることで感染を拡大します。

注意： W32/Bugbear-A はプリンターを含む、あらゆるタイプのネットワーク共有リソースへ自分自身をコピーしようとします。プリンターには感染することは出来ませんが、 W32/Bugbear-A のバイナリ実行コードをそのままバイナリデータ形式で印刷しようと試みます。これによって多くの用紙を無駄にします。

ワームは Microsoft Outlook、 Microsoft Outlook Express および Internet Explorer のいくつかのバージョンにおける MIME と IFRAME の脆弱性を攻撃しようとします。ユーザーが添付ファイルをダブルクリックしなくても、この脆弱性は実行可能な添付ファイルを自動的に実行させることを可能にします。 Microsoft 社はこの種の攻撃に対するセキュリティパッチをリリースしています。このセキュリティパッチは以下のページからダウンロード可能です。（このパッチは Microsoft 社のソフトウェアにおける多くの脆弱性を修正するためにリリースされたものです。これは今回のワームによる攻撃にも適用されます。）
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-027

ワームが活動すると、いくつかの新しいファイルが感染したコンピュータ上に作成されます。ファイル名はワームによって任意に選択されたアルファベットで構成されます。以下のようなファイル名が想定されます：

スタートアップフォルダーに xxx.EXE（たいてい 50688 バイト）

System フォルダーに yyyy.EXE（たいてい 50688 バイト）

System フォルダーに zzzzzzz.DLL（たいてい 5632 バイト）

上記2つの EXE ファイルは実行可能なワームのコピーです。 DLL ファイルはワームが活動した際に使用され、 コンピュータのキー操作を記録（ログ）するファイルです。

ワームはスタートアップフォルダーに自分自身を追加するだけでなく以下のレジストリキーを追加します：

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥RunOnce

上記キーによってコンピュータが再起動するとワームが再び始動されるように設定されます。

ワームは電子メールを経由して自分自身を感染拡大します。電子メールは通常のメールのように見受けられます。もしくは本文がなく、以下のいずれかの件名であることが想定されます：

Hello!
update
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
fantastic
click on this!
Market Update Report
empty account
My eBay ads
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
$150 FREE Bonus!
Your News Alert
Get 8 FREE issues - no risk!
Greets!

添付ファイルは感染したコンピュータにあるもう一つのファイル名と同じ名前であることが想定されますが、以下の文字を含んでいることも想定されます：

Readme
Setup
Card
Docs
News
Image
Images
Pics
Resume
Photo
Video
Music
Song
Data

この添付ファイルは二重拡張子を持ち、最後の（2つ目の）拡張子は EXE、 SCR または PIF であると想定されます。

ワームは自分自身を送信する電子メールの From および Reply To フィールドをスプーフする（偽る）ことにご注意ください。

W32/Bugbear-A はバックグランドで一つのスレッドを実行し、以下にあるいずれか一つのファイル名を持つウイルス対策ソフト、およびセキュリティプログラムを停止させようとします：

ZONEALARM.EXE, WFINDV32.EXE, WEBSCANX.EXE, VSSTAT.EXE, VSHWIN32.EXE, VSECOMR.EXE, VSCAN40.EXE, VETTRAY.EXE, VET95.EXE, TDS2-NT.EXE, TDS2-98.EXE, TCA.EXE, TBSCAN.EXE, SWEEP95.EXE, SPHINX.EXE, SMC.EXE, SERV95.EXE, SCRSCAN.EXE, SCANPM.EXE, SCAN95.EXE, SCAN32.EXE, SAFEWEB.EXE, RESCUE.EXE, RAV7WIN.EXE, RAV7.EXE, PERSFW.EXE, PCFWALLICON.EXE, PCCWIN98.EXE, PAVW.EXE, PAVSCHED.EXE, PAVCL.EXE, PADMIN.EXE, OUTPOST.EXE, NVC95.EXE, NUPGRADE.EXE, NORMIST.EXE, NMAIN.EXE, NISUM.EXE, NAVWNT.EXE, NAVW32.EXE, NAVNT.EXE, NAVLU32.EXE, NAVAPW32.EXE, N32SCANW.EXE, MPFTRAY.EXE, MOOLIVE.EXE, LUALL.EXE, LOOKOUT.EXE, LOCKDOWN2000.EXE, JEDI.EXE, IOMON98.EXE, IFACE.EXE, ICSUPPNT.EXE, ICSUPP95.EXE, ICMON.EXE, ICLOADNT.EXE, ICLOAD95.EXE, IBMAVSP.EXE, IBMASN.EXE, IAMSERV.EXE, IAMAPP.EXE, FRW.EXE, FPROT.EXE, FP-WIN.EXE, FINDVIRU.EXE, F-STOPW.EXE, F-PROT95.EXE, F-PROT.EXE, F-AGNT95.EXE, ESPWATCH.EXE, ESAFE.EXE, ECENGINE.EXE, DVP95_0.EXE, DVP95.EXE, CLEANER3.EXE, CLEANER.EXE, CLAW95CF.EXE, CLAW95.EXE, CFINET32.EXE, CFINET.EXE, CFIAUDIT.EXE, CFIADMIN.EXE, BLACKICE.EXE, BLACKD.EXE, AVWUPD32.EXE, AVWIN95.EXE, AVSCHED32.EXE, AVPUPD.EXE, AVPTC32.EXE, AVPM.EXE, AVPDOS32.EXE, AVPCC.EXE, AVP32.EXE, AVP.EXE, AVNT.EXE, AVKSERV.EXE, AVGCTRL.EXE, AVE32.EXE, AVCONSOL.EXE, AUTODOWN.EXE, APVXDWIN.EXE, ANTI-TROJAN.EXE, ACKWIN32.EXE, _AVPM.EXE, _AVPCC.EXE, _AVP32.EXE

W32/Bugbear-A（その DLL ファイル）のキー操作を記録（ログ）したコンピュータはキーボード入力をフック（一時的に書き留め）、キー操作を記録します。ユーザーがダイヤルアップ接続を使ってインターネットに接続すると、ワームはその情報を以下のいずれかの遠隔メールアドレスに送信します：

mshaw@hispostbox.com
mannchris@gala.net
gili_zbl@yahoo.com
c.willoughby@myrealbox.com
brdlhow@ml1.net
sc4579@excite.com
jwwatson@excite.com
stevechurchis@excite.com
langobaden@excite.com
jacopo58@excite.com
sctanner@myrealbox.com
erisillen@canada.com
sergio52@mac.com
rvre2736@fairesuivre.com
zr376q@yahoo.com
t435556@email.it
sdsdfsf@callme.as
boxhill@teach.com
stickly@login.pe.kr
vique@aggies.org
sm2001@mail.gerant.com
rwilson@singmail.com

W32/Bugbear-A は36794 を開け、リモートマシンからのコマンドを待ちうけます。発行されるコマンドによって、リモートユーザーは感染したコンピュータ上で以下の操作を試みようとします：

暗号化された形式でキャッシュされたパスワードを取得する
あるファイルをダウンロードし実行する
ファイルを検索する
ファイルを削除する
ファイルを実行する
ファイルをコピーする
ファイルへ書き込む
プロセスを一覧表示する
プロセスを停止する
ユーザー名、プロセッサーのタイプ、 Windows のバージョン、メモリー情報（使用されている分、未使用分等）、ドライブ情報（有効なローカルドライブのタイプ、空きスペース情報等）を取得する

またリモートユーザーは感染したコンピュータのポート80（HTTP）を開け、その後、W32/Bugbear-A が提供するバックドア Web サーバー（たとえば Apache 1.3.26 Web サーバー）に接続しようと試みます。このようにして感染したコンピュータ上の制御レベルを得ようとします。