ややこしい!
す、すみませんすみません。この記事は6/21の朝に書いたものです。日付間違えてます。orz
【6/21 20:24追記】Norton AntiVirus 2006 でも検出されるようになりました。(パスワードを入れて解凍した場合ですけど。)
パスワード付圧縮ファイルが添付されたウイルスメールがやって来ました。HTMLメール内のGIF画像にパスワードの数字が入ってました。
ノートン(AntiVirus 2006)さんは解凍しても検出せず。ウイルスバスターさんによるとWORM_BAGLE.FNとのこと(パターン:3.517.00での対応)。
まぁいかにも怪しいメールなのでわざわざ解凍して実行する人は少ないとは思いますけど、やらしいですねぇ。zip圧縮ファイル内のexeファイルのアイコンはjpgと同じものになってました。
パスワード付なので検査できないのはわかりますけど、それならそれでエラーとして通知してくれた方がいいかなと思いました。
ちなみにNOD32では手動スキャンで「エラー:パスワード保護されています。」と表示されます。メールだとこんな風。
_________ NOD32 1.1611 (20060620) Information __________ This message was checked by NOD32 antivirus system. Isabel.zip - is OK Isabel.zip>ZIP>lwuzcwrltwsp.exe - error - password-protected file Isabel.zip>ZIP>hvrzeiswcvpc\rozfxeltxr.dll - error - password-protected file
※「日本語で書けよ」とか思ったりもしますが、そこはそれ。
パスワードを外したファイルでのOnline malware scanの結果を貼っておきます。
AntiVir Found Worm/Bagle.GJ ArcaVir Found nothing Avast Found Win32:Beagle-LZ AVG Antivirus Found I-Worm/Bagle BitDefender Found Win32.Bagle.ER@mm ClamAV Found Trojan.Spamtool.Small.F Dr.Web Found Win32.HLLM.Beagle F-Prot Antivirus Found W32/Mitglieder.TK Fortinet Found W32/Bagle.AL@mm Kaspersky Anti-Virus Found Email-Worm.Win32.Bagle.fy NOD32 Found Win32/Bagle.GM UNA Found nothing VirusBuster Found nothing VBA32 Found Email-Worm.Bagle.1 (probable variant)
Norman はsandbox での結果が出るのですか。あんまり詳しい意味はわかりませんけどrootkitっぽいですか。
Norman Virus Control Found Sandbox: W32/Malware; [ General information ] * Creating several executable files on hard-drive. * File length: 85508 bytes. [ Changes to filesystem ] * Creates directory C:\WINDOWS\hidn. * Creates file C:\WINDOWS\hidn\hidn.exe. * Creates file C:\WINDOWS\hidn\m_hook.sys. [ Changes to registry ] * Creates key "HKLM\System\CurrentControlSet\Services\m_hook". * Sets value "ImagePath"="C:\WINDOWS\hidn\m_hook.sys" in key "HKLM\System\CurrentControlSet\Services\m_hook". * Sets value "DisplayName"="Empty" in key "HKLM\System\CurrentControlSet\Services\m_hook". [ Process/window information ] * Attemps to open C:\WINDOWS\hidn\hidn.exe NULL. * Attempts to access service "wuauserv". * Attempts to access service "Aavmker4". * Attempts to access service "ABVPN2K". * Attempts to access service "ADBLOCK.DLL". * Attempts to access service "ADFirewall". * Attempts to access service "AFWMCL". * Attempts to access service "Ahnlab task Scheduler". * Attempts to access service "alerter". * Attempts to access service "AlertManger". * Attempts to access service "AntiVir Service". * Attempts to access service "AntiyFirewall". * Attempts to access service "ARP.DLL". * Attempts to access service "aswMon2". * Attempts to access service "aswRdr". * Attempts to access service "aswTdi". * Attempts to access service "aswUpdSv". * Attempts to access service "Ati HotKey Poller". * Attempts to access service "avast! Antivirus". * Attempts to access service "avast! Mail Scanner". * Attempts to access service "avast! Web Scanner". * Attempts to access service "AVEService". * Attempts to access service "AVExch32Service". * Attempts to access service "AvFlt". * Attempts to access service "Avg7Alrt". * Attempts to access service "Avg7Core". * Attempts to access service "Avg7RsW".
Virus Total は順番まちなので...と思ったら結果でました。主要なとこだけ追加。
McAfee 4788 06.20.2006 New Malware.b Symantec 8.0 06.20.2006 W32.Beagle.FF@mm
ほぼ各社とも対応済みのようですね。(私のノートンは検出しませんが・・・あと、eTrust がまだのようなのでご注意)。
まぁこんなこともあるということで注意しときましょう。
