トップページへ > セキュリティ情報 トップ > BAGLE(バグル)

コンピュータウイルス「BAGLE」の種類と感染確認方法

感染が確認できた場合は、ウイルス対策ソフトメーカが提供している駆除ツールを利用することをお薦めします。
ページ右上の「ネットワークセキュリティ関連リンク」の中に、ソフトメーカへのリンクがあります。

※ ここに示したデータはトレンドマイクロのウイルスデータベースを基にしています。


BAGLE.A  発見日: 2004/01/18(米国時間)
別名: Beagle.A
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsのシステムディレクトリ>に"BBEAGLE.EXE"というファイルを作成し、レジストリを改変する。

レジストリ追加
場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : d3dupdate.exe = "%System%\bbeagle.exe"

場所: HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
値 : d3dupdate.exe = "%System%\bbeagle.exe"

場所: HKEY_USERS\%SystemInfo%\Software\Windows98
値名: Uid
値名: Frun


BAGLE.B  発見日: 2004/02/17(米国時間)
別 名: Beagle.B , W32/Tanx-A
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に"au.exe"というファイルを作成し、レジストリを改変する。

レジストリ追加
場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : Au.exe = "<Windowsシステムフォルダ>\au.exe"

場所: HKEY_CURRENT_USER\Software\Windows2000
値 : gid = <数値>
    frn = <ランダムなデータ>


BAGLE.C  発見日: 2004/02/27(米国時間)
別 名: Beagle.C
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する
readme.exe  :ワームのコピー
onde.exe   :電子メール送信に使用するライブラリ
doc.exe    :DLLローダプログラム
readme.exeopen:ワームメールの添付ファイル用コピー

レジストリ追加
場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : gouday.exe = "%System%\readme.exe"

場所: HKEY_CURRENT_USER\Software\DateTime2
値 : frun = "1"
    port = "2745"
    uid = "[Random Value]"


BAGLE.D  発見日: 2004/02/28(米国時間)
別 名: Beagle.D
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
readme.exe  :ワームのコピー
onde.exe   :電子メール送信に使用するライブラリ
doc.exe    :DLLローダプログラム
readme.exeopen:ワームメールの添付ファイル用コピー

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :gouday.exe = "%System%\readme.exe"

場所:HKEY_CURRENT_USER\Software\DateTime3
値 :frun = "1"
   port = "2745"
   uid = "[Random Value]"


BAGLE.E  発見日: 2004/02/28(米国時間)
別 名: Beagle.E
プラットフォーム: Windows 95, 98, ME, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリが改変される。
godo.exe    :電子メール送信に使用するライブラリ
i1ru74n4.exe  :ワームのコピー
i1ru74n4.exeopen:ワームメールの添付ファイル用コピー
ii455nj4.exe  :DLLローダプログラム

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :rate.exe="%System%\i1ru74n4.exe"

場所:HKEY_CURRENT_USER\Software\DateTime4


BAGLE.F
別 名:Bagle.F
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
i1ru54n4.exe  :ワームのコピー
i1ru54n4.exeopen:ワームのコピー
go54o.exe    :電子メール送信に使用するライブラリ
ii5nj4.exe    :DLLローダプログラム

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :rate.exe="%System%\i1ru54n4.exe"

場所:HKEY_CURRENT_USER\Software\Winword


BAGLE.G
別 名:Bagle.g
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
i1ru54n4.exe  :ワームのコピー
i1ru54n4.exeopen:ワームのコピー
go54o.exe    :電子メール送信に使用するライブラリ
ii5nj4.exe    :DLLローダプログラム

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :rate.exe="%System%\i1ru54n4.exe"

場所:HKEY_CURRENT_USER\Software\Winword


BAGLE.H  発見日: 2004/03/01(米国時間)
別 名:Beagle.H
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
GO154O.EXE   :電子メール送信に使用するライブラリ
I11R54N4.EXE  :ワームのコピー
I11R54N4.EXEOPEN:ワームのコピー
I1I5N1J4.EXE  :DLLローダプログラム

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :rate.exe="%System%\i1ru54n4.exe"

場所:HKEY_CURRENT_USER\Software\winexe


BAGLE.I  発見日: 2004/03/02(米国時間)
別 名:BAGLE.I
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
GO154O.EXE   :電子メール送信に使用するライブラリ
I11R54N4.EXE  :ワームのコピー
I11R54N4.EXEOPEN:ワームのコピー
I1I5N1J4.EXE  :DLLローダプログラム

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :rate.exe="%System%\i1ru54n4.exe"

場所:HKEY_CURRENT_USER\Software\windor


BAGLE.J  発見日: 2004/03/02(米国時間)
別 名: Beagle.J
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
irun4.exe  :ワームのコピー
irun4.EXEOPEN:ワームメールに使用されるワームのコピー

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :ssate.exe = "%System%\irun4.exe"

場所:HKEY_CURRENT_USER\Software\DateTime


BAGLE.K  発見日: 2004/03/03(米国時間)
別 名: Beagle.K, Win32.HLLM.Beagle.based, Worm/Bagle.H.GODO
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成され、レジストリを改変する。
Winsys.exe
winsys.exeopen
winsys.exeopenopen

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :ssate = %System%\winsys.exe

場所:HKEY_CURRENT_USER\Software\DateTime


BAGLE.L  発見日: 2004/03/09(米国時間)
別 名:Beagle.L,TROJ_MITGLIEDR.C
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に自身のコピーである、"IRUN4.EXE"を作成し、レジストリを改変する。

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :ssate.exe = "<Windowsシステムフォルダ>\irun4.exe"

キー:HKEY_CURRENT_USER\Software\DateTime
値 :Uid= 45891537
   Port=dword:00002b6d
   R4d4=dword:00000001


BAGLE.M  発見日: 2004/03/13(米国時間)
別 名: Beagle.M Mitglieder.E, Mitglieder.D, Mitglieder.C,
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に自身のコピー"SYSWRUN4X.EXE"を作成します。

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :usrgtway.exe = <Windowsシステムフォルダ>\syswrun4x.exe

場所:HKEY_CURRENT_USER\Software\DateTime


BAGLE.N  発見日: 2004/03/13(米国時間)
別 名: Beagle.N
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

※実行可能形式(.exe)ファイルに自身のコードを追加するファイル感染型

<Windowsシステムフォルダ>に以下のファイルを作成する
WINUPD.EXE (自身のコピーです)
WINUPD.EXEOPEN (自身のコピーです)
WINUPD.EXEOPENOPEN (自身のコピーをZIP形式、またはRAR形式で圧縮したものです)
WINUPD.EXEOPENOPENOPEN (ZIP、RARファイルのパスワードを表示する画像ファイルです)

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :winupd.exe = <Windowsシステムフォルダ>\winupd.exe

キー:HKEY_CURRENT_USER\winupd


BAGLE.P  発見日: 2004/03/14(米国時間)
別 名: BAGLE.P-O
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

※ 実行可能形式(.exe)ファイルに自身のコードを追加するファイル感染型

レジストリ追加
<Windowsシステムフォルダ>に以下のファイルを作成する
WINUPD.EXE       (自身のコピーです)
WINUPD.EXEOPEN     (自身のコピーです)
WINUPD.EXEOPENOPEN   (自身のコピーをZIP形式、またはRAR形式で圧縮したものです)
WINUPD.EXEOPENOPENOPEN (ZIP、RARファイルのパスワードを表示する画像ファイルです)
レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :winupd.exe = <Windowsシステムフォルダ>\winupd.exe

キー:HKEY_CURRENT_USER\winupd


BAGLE.Q  発見日: 2004/03/17(米国時間)
別 名: BAGLE.Q-O
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルを作成する
DIRECTS.EXE
DIRECTS.EXEOPEN

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Run
値 :directs.exe = "<Windowsシステムフォルダ>\directs.exe"

キー:HKEY_CURRENT_USER\Software\windirects


BAGLE.R  発見日: 2004/03/18(米国時間)
別 名: Beagle.R, W32/Bagle.R.1
プラットフォーム: Windows 98, ME, NT, 2000, XP

※ 添付ファイルはありません。その代わりに本文中に不正サイトへのリンクが埋め込まれています

<Windowsシステムフォルダ>に以下のファイルを作成します。
DIRECT.EXE
DIRECT.EXEOPEN

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows CurrentVersion\Run
値 :direct.exe = "<Windowsシステムフォルダ>\direct.exe"

キー:HKEY_CURRENT_USER\Software\windirects


BAGLE.T  発見日: 2004/03/18(米国時間)
別 名: Beagle.T
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

※ 実行可能形式(.exe)ファイルに自身のコードを追加するファイル感染型

<Windowsシステムフォルダ>に以下のファイルを作成する
directs.exe
directs.exeopen

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :directs.exe="<Windowsシステムフォルダ>\directs.exe "


BAGLE.U  発見日: 2004/03/26(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に "GIGABIT.EXE" というファイルが作成される

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :GIGABIT.EXE = %System%\GIGABIT.EXE

場所:HKEY_CURRENT_USER\Software\Windows2004
値 :gsed = "<9桁のランダムな数字>"
値 :fr1n = "1"

※ システム日付が「2005年1月1日」以降だった場合、ワームは直ちに実行を終了します。


BAGLE.V 発見日: 2004/03/29(米国時間) <2004年4月8日追記>
別 名: Beagle.U, I-Worm.Bagle.t, Win32:Beagle-U, Worm/Bagle.U.2
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に"SYSINFO.EXE"が作成され、レジストリの値が変更される。

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :"sysinfo.exe = <Windowsシステムフォルダ>\sysinfo.exe"

場所:HKEY_CURRENT_USER\Software\Windows2005
値 :gsed = "<9つのランダムの数字>"
   fr1n = "1"

※ TCPポート4751を開いて外部ユーザからのコマンドを待ち受けます。ワームは、以下のURLの外部スクリプトに接続します:
  http://www.we<省略>e.de/5.php.
  上記のURLにアクセスして、自身が感染コンピュータ上に作成した単一の数と開かれたポートの番号で構成されるID番号を送信します。

※ アップデートされた自身のコピーをダウンロードして実行
  註:アップデートの過程でワームは、自身のコピーを<Windowsフォルダ>内にファイル名"bsud<ランダム>.exe"で作成します。

※ 感染コンピュータ上から自身の削除をするためにバッチファイル"A.BAT"を作成して実行します。

※ このワームは、数ある「BAGLE」の亜種の中でもかなり早い時期に作成された試作版のようなバージョンではないかと推測されます。


BAGLE.W 発見日: 2004/04/05(米国時間) <2004年4月19日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成されます
IRUN4.EXE
SYSTEM.EXE
IINJ4.EXE
BAN_LIST.TXT

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:ssgrate.exe = "<Windowsシステムフォルダ>\irun4.exe"

場所:HKEY_CURRENT_USER\Software
キー:DateTime

※ 不正プログラムコンポーネント(SYSTEM.EXE)
  外部からのコマンドを待ち受けるためにポート17771を開いてメール振り分けの機能(mail dispatcher)として活動します。
  この不正プログラムはプロキシによって除外されている禁止されたIPアドレスのリストを数種のWEBサイトよりダウンロードします。
  そしてこのデータを<Windowsシステムフォルダ>内に作成された"BAN_LIST.TXT"ファイルに保存します。

※ プログラムの強制終了
  セキュリティソフト、アンチウイルスソフトに関連したプログラムを強制終了します。


BAGLE.X 発見日: 2004/04/26(米国時間)  <2004年4月26日追記>
※※2004年4月19日に追記した「BAGLE.X」は「TROJ_MITGLIEDR.X」に変更されました。
別 名: w32.beagle.w@mm, Bagle.y, W32/Bagle.z@MM, W32/Bagle-W
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>内に以下のファイル名で作成
Drvsys.exe
Drvsys.exeopen
Drvsys.exeopenopen

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:Drvsys.exe = "%System%\ Drvsys.exe"

※ ウイルス対策ソフトなどのセキュリティソフトを強制終了させる
※ バックドア型ハッキングツール的活動を行うためにポート2535をオープンし、外部からの接続を待ち受ける


BAGLE.Z 発見日: 2004/04/28(米国時間)  <2004年4月29日追記>
別 名: I-Worm/Bagle.AB, Worm/Bagle.AA, W32/Bagle.aa@MM, Win32:Beagle-Z, Win32/Bagle.AB, W32.Beagle.X@mm, I-Worm.Bagle.z,
    Win32/Bagle.Z@mm, W32/Bagle-AA, Win32.Bagle.X
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>に以下のファイルが作成されます
DRVDDLL.EXE
DRVDDLL.EXEOPEN
DRVDDLL.EXEOPENOPEN

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:drvddll.exe = “%System%\drvddll.exe"

※ ネットワーク共有やP2Pファイル共有システムによって自身のコピーが頒布される可能性を狙って、"shar" という文字列を含んだフォルダに自身のコピーを作成する
※ ウイルス対策ソフトなどのセキュリティソフトの活動停止を狙ったプロセスを強制終了
※ バックドア型ハッキングツール的活動のために、ポート2535をオープンして外部からの接続を待ち受ける


BAGLE.AA 発見日: 2004/05/09(米国時間)  <2004年5月18日追記>
別 名: Win32.Bagle.X, I-Worm.Bagle.z, W32/Bagle.aa@MM
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>内に以下のファイル名で作成します
Drvddll.exe
Drvddll.exeopen
Drvddll.exeopenopen

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:drvddll.exe = “%System%\drvddll.exe"


BAGLE.AB 発見日: 2004/05/09(米国時間)  <2004年5月18日追記>
別 名: Win32.Bagle.X, I-Worm.Bagle.z, W32/Bagle, W32.Beagle.gen
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsシステムフォルダ>内に以下のファイル名で作成します
Drvddll.exe
Drvddll.exeopen
Drvddll.exeopenopen

レジストリ追加
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:drvddll.exe = “%System%\drvddll.exe"


BAGLE.AD 発見日: 2004/07/04(米国時間)  <2004年7月20日追記>
別 名: Win32/Bagle.BA@mm, Win32/Bagle.Variant.Worm, I-Worm.Bagle.aa
対象: Windows 95, 98, ME, NT, 2000, XP

以下のファイルが<Windowsシステムフォルダ>に作成されます
loader_name.EXE
loader_name.EXEOPEN
loader_name.EXEOPENOPEN

レジストリの値が追加されます
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:reg_key = “%System%\loader_name.exe"


BAGLE.AF 発見日: 2004/07/15 11:44:14(米国時間)  <2004年7月20日追記>
対象: Windows 95, 98, ME, NT, 2000, XP

Windowsの<システムフォルダ>に以下のファイルが作成されます。
sysxp.exe
sysxp.exeopen
sysxp.exeopenopen

レジストリの値が追加されます
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:key = "<システムフォルダ>\sysxp.exe"


BAGLE.AH 発見日: 2004/07/19 9:18:00 (米国時間)  <2004年7月20日追記>
別 名: I-Worm.Bagle.ag, Bagle.AH, Bagle.AD, W32/Bagle.ah@MM
対象: Windows 95, 98, ME, NT, 2000, XP

以下のファイルが<Windowsシステムフォルダ>に作成されます
winxp.exe
winxp.exeopen
winxp.exeopenopen
winxp.exeopenopenopen
winxp.exeopenopenopenopen

Windowsのレジストリに以下の値を追加します
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:key = "%System%\ winxp.exe"


BAGLE.AC 発見日: 2004/08/09 11:21:20 (米国時間)  <2005年1月28日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

Windowsのシステムフォルダに以下のファイルが作成されます
WINDLL.EXE
WINDLL.EXEOPEN
WINDLL.EXEOPENOPEN

レジストリに以下の値を追加します
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :erthgdr =%System%\windll.exe


BAGLE.AI 発見日: 2004/08/31(米国時間)  <2005年1月28日追記>
別 名: Download.Ject.D, Bagle.AK, Win32/Bagle.Downloader.Trojan, Troj/BagleDl-A対 象: Windows 95, 98, ME, NT, 2000, XP

Windowsのシステムフォルダに以下のファイルが作成されます
DORIOT.EXE
GDQFW.EXE

Windowsのレジストリに以下の値を追加します
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :wersds.exe = "%System%\doriot.exe"

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 :wersds.exe = "%System%\doriot.exe"


BAGLE.AT 発見日: 2004/10/29 17:00:00 GMT -0800(米国時間)  <2005年1月28日追記>
別 名: I-Worm.Bagle.at
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

以下のファイルが<Windowsシステムフォルダ>に作成されます
wingo.EXE
wingo.EXEOPEN
wingo.EXEOPENOPEN
レジストリの値が変更されます。
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:wingo.exe = “%System%\wingo.exe"


BAGLE.AU 発見日: 2004/10/29(米国時間)  <2005年1月28日追記>
別 名: W32.Beagle.AW@mm, W32/Bagle.bd@MM, I-Worm.Bagle.au, W32/Bagle-AU, Win32.Bagle.AR, Win32:Beagle-AS, I-Worm/Bagle.AZ
プラットフォーム: Windows 95, 98, ME, 2000, XP

以下のファイルが<Windowsシステムフォルダ>に作成されます
wingo.EXE
wingo.EXEOPEN
wingo.EXEOPENOPEN

レジストリの値が変更されます。
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:wingo.exe = “%System%\wingo.exe"


BAGLE.AZ 発見日: 2005/01/25(米国時間)  <2005年1月28日追記>
プラットフォーム: Windows 95, 98, NT, 2000, XP

ワームを実行してしまった場合には、<Windowsシステムフォルダ>に以下のファイルが作成されます。
sysformat.exe
sysformat.exeopen
sysformat.exeopenopen
<Windowsフォルダ>内に "CJECTOR.EXE" というファイルが作成されます。また、レジストリ値が改変されます。


参  考 <Windowsフォルダ> <WindowsSystemフォルダ>
Windows9x/Me C:\Windows C:\Windows\System
WindowsNT/2000  C:\WinNT C:\WinNT\System32
WindowsXP C:\Windows C:\Windows\System32