Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

パスワード付圧縮ファイル付ウイルスメール

Google の広告

ややこしい!

す、すみませんすみません。この記事は6/21の朝に書いたものです。日付間違えてます。orz

【6/21 20:24追記】Norton AntiVirus 2006 でも検出されるようになりました。(パスワードを入れて解凍した場合ですけど。)

パスワード付圧縮ファイルが添付されたウイルスメールがやって来ました。HTMLメール内のGIF画像にパスワードの数字が入ってました。

ノートン(AntiVirus 2006)さんは解凍しても検出せず。ウイルスバスターさんによるとWORM_BAGLE.FNとのこと(パターン:3.517.00での対応)。

まぁいかにも怪しいメールなのでわざわざ解凍して実行する人は少ないとは思いますけど、やらしいですねぇ。zip圧縮ファイル内のexeファイルのアイコンはjpgと同じものになってました。

パスワード付なので検査できないのはわかりますけど、それならそれでエラーとして通知してくれた方がいいかなと思いました。

ちなみにNOD32では手動スキャンで「エラー:パスワード保護されています。」と表示されます。メールだとこんな風。

_________ NOD32 1.1611 (20060620) Information __________

This message was checked by NOD32 antivirus system.
Isabel.zip - is OK
Isabel.zip>ZIP>lwuzcwrltwsp.exe - error - password-protected file
Isabel.zip>ZIP>hvrzeiswcvpc\rozfxeltxr.dll - error - password-protected file

※「日本語で書けよ」とか思ったりもしますが、そこはそれ。

パスワードを外したファイルでのOnline malware scanの結果を貼っておきます。

AntiVir      Found Worm/Bagle.GJ
ArcaVir      Found nothing
Avast        Found Win32:Beagle-LZ
AVG Antivirus     Found I-Worm/Bagle
BitDefender     Found Win32.Bagle.ER@mm
ClamAV       Found Trojan.Spamtool.Small.F
Dr.Web       Found Win32.HLLM.Beagle
F-Prot Antivirus     Found W32/Mitglieder.TK
Fortinet     Found W32/Bagle.AL@mm
Kaspersky Anti-Virus     Found Email-Worm.Win32.Bagle.fy
NOD32        Found Win32/Bagle.GM
UNA     Found nothing
VirusBuster     Found nothing
VBA32     Found Email-Worm.Bagle.1 (probable variant) 

Norman はsandbox での結果が出るのですか。あんまり詳しい意味はわかりませんけどrootkitっぽいですか。

Norman Virus Control     Found Sandbox: W32/Malware; [ General information ]

* Creating several executable files on hard-drive.
* File length: 85508 bytes.

[ Changes to filesystem ]
* Creates directory C:\WINDOWS\hidn.
* Creates file C:\WINDOWS\hidn\hidn.exe.
* Creates file C:\WINDOWS\hidn\m_hook.sys.

[ Changes to registry ]
* Creates key "HKLM\System\CurrentControlSet\Services\m_hook".
* Sets value "ImagePath"="C:\WINDOWS\hidn\m_hook.sys" in key "HKLM\System\CurrentControlSet\Services\m_hook".
* Sets value "DisplayName"="Empty" in key "HKLM\System\CurrentControlSet\Services\m_hook".

[ Process/window information ]
* Attemps to open C:\WINDOWS\hidn\hidn.exe NULL.
* Attempts to access service "wuauserv".
* Attempts to access service "Aavmker4".
* Attempts to access service "ABVPN2K".
* Attempts to access service "ADBLOCK.DLL".
* Attempts to access service "ADFirewall".
* Attempts to access service "AFWMCL".
* Attempts to access service "Ahnlab task Scheduler".
* Attempts to access service "alerter".
* Attempts to access service "AlertManger".
* Attempts to access service "AntiVir Service".
* Attempts to access service "AntiyFirewall".
* Attempts to access service "ARP.DLL".
* Attempts to access service "aswMon2".
* Attempts to access service "aswRdr".
* Attempts to access service "aswTdi".
* Attempts to access service "aswUpdSv".
* Attempts to access service "Ati HotKey Poller".
* Attempts to access service "avast! Antivirus".
* Attempts to access service "avast! Mail Scanner".
* Attempts to access service "avast! Web Scanner".
* Attempts to access service "AVEService".
* Attempts to access service "AVExch32Service".
* Attempts to access service "AvFlt".
* Attempts to access service "Avg7Alrt".
* Attempts to access service "Avg7Core".
* Attempts to access service "Avg7RsW".

Virus Total は順番まちなので...と思ったら結果でました。主要なとこだけ追加。

McAfee   4788   06.20.2006	New Malware.b
Symantec 8.0    06.20.2006	W32.Beagle.FF@mm

ほぼ各社とも対応済みのようですね。(私のノートンは検出しませんが・・・あと、eTrust がまだのようなのでご注意)。

まぁこんなこともあるということで注意しときましょう。