キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/NetSky.D
公開日:2004年03月02日
このウイルスに関する危険度 :■■■□□
対応定義ファイル 定義ファイルバージョン1.642 (20040301) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

■Win32/NetSky.D

Win32/NetSky.D は、電子メールの添付ファイルで拡散するワームです。サイズは 17,424バイトです。

メールの題名は次のいずれかになります。

Re: Approved
Re: Details
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website

メールの本文は次のいずれかからランダムに選ばれます。

Here is the file.
Please have a look at the attached file
Please read the attached file.
See the attached file for details.
Your document is attached.
Your file is attached.

添付ファイル名は次のいずれかです。

all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
your_document.pif
your_file.pif
your_letter.pif
your_picture.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif

ワームが実行されると、このワームは自分自身を %windir%\winlogon.exe としてコピーして、次のレジストリキーを追加します。

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" ICQ Net" = "%windir"\winlogon.exe -stealth"

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは次のレジストリエントリーを削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services Host
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows Services Host
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \d3dupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\au.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OLE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Sentry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msgsvr32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\system.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

このワームは拡散を広げるために、すべてのローカルドライブ(CD-ROMドライブを除く)
を検索して、次の拡張子をもつファイルからメールアドレスを取得します。

.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab

ただし、メールアドレスに次の文字列が含まれる場合は、このワームは自分自身を送信しません。

abuse
antivi
aspersky
avp
cafee
f-pro
f-secur
fbi
icrosoft
itdefender
messagelabs
orman
orton
skynet
spam
ymantec

このワームは、2004年3月2日午前6時から午前9時までの間、ビープ音を発生させる命令を備えています。

このワームの本体には、次のテキストが含まれています。

"be aware! Skynet.cz - -->AntiHacker Crew<--"

Win32/NetSky.D は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.642にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。


 ■Win32/Netsky.D 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。


1. 駆除ツール nkdclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに保存してください。(例"c:\download")
2. nkdclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン結果

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。

検知したウイルスの駆除・削除の確認
 
以上で作業が完了しました。 [ OK ] ボタンを押してください。

再起動の確認
5. Windowsを再起動してください。以上で完了です。
このページのトップへ

(C)Canon IT Solutions Inc.