キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/NetSky.B
公開日:2004年02月20日
このウイルスに関する危険度 :■■■□□
対応定義ファイル 定義ファイルバージョン1.627 (20040218) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

■Win32/NetSky.B

Win32/NetSky.B は、電子メールの添付ファイルおよびLANやP2Pネットワークでの共有ファイルとして拡散するワームです。このワームのサイズは、22,106バイトで、UPXユーティリティで圧縮されています。解凍するとサイズは、41,984バイトになります。

注意:以下の説明において、%windir% はWindows OS がインストールされたディレクトリ名を意味します。また、%system% は %windir% にあるサブディレクトリ "System" または" System32" を意味します。

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームがパラメータ(引数)無しに実行されると、このワームは次のメッセージをエラーウインドウとして表示します。

" The file could not be opened!".

このワームが活動を開始すると、%windir% ディレクトリに、services.exe という名前で自分自身をコピーします。

このワームは、次のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" service" = "%windir%\services.exe -serv"

このコピーされたワーム(services.exe)は、"-serv" というパラメータを使って起動されると、次回上記のエラーメッセージを表示しないようになります。つまり、以降コンピュータを再起動しても、ワームが上記のエラーメッセージを表示しないため、感染に気付きにくくなります。

このワームは、次のレジストリのエントリーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system

このワームは、CD-ROMを除くすべてのローカルディスクドライブから、"share"または"sharing" という名前をもつディレクトリを検索して、それらの名前をもつディレクトリを発見したら、そのディレクトリに自分自身のコピーを次のファイル名でコピーします。

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif

このワームは、P2Pネットワークのような共有ディレクトリの仕組みも利用して感染を拡大させることも試みます。このワームは、感染を広げるために、感染したコンピュータ上の次の拡張子をもつファイルからメールアドレスを取得します。

.eml
.txt
.php
.pl
.htm
.html
.vbs
.rtf
.uin
.asp
.wab
.doc
.adb
.tbb
.dbx
.sht
.oft
.msg

電子メールを使って拡散するとき、このワームは、メールの題名に次の文字列のいずれかを使用します。

hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

メールの本文には、次の文字列のいずれかが含まれています。

anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

電子メールに添付されているファイル(ワーム)の拡張子は、二重拡張子になっており、 第一の拡張子は、.txt, .doc, .rtf のいずれかです。第二の拡張子は、 .exe, .scr, .com または .pif のいずれかです。

このワームは、自分自身をZIP圧縮して添付した電子メールを送信することもあります。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.627にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、 NOD32のコントロールセンターの「更新」ボタンをクリックしてください。


■Win32/Netsky.B駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール nkbclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例"c:\download")
2. nkbclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ]を選択してください。

確認ダイアログ
5. Windowsを再起動してください。以上で完了です。
(再起動を確認するダイアログが表示されますので[OK]を選択してください。)
再起動の確認メッセージ
このページのトップへ

(C)Canon IT Solutions Inc.