Win32/Netsky.Q は、電子メールの添付ファイルおよびP2Pネットワークの共有フォルダで拡散するワームです。差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。

このワームは、Microsoft Windows の既知の脆弱性の一つとして知られる、「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する (MS01-020)」 を利用して活動します。詳細はMicrosoft社のセキュリティ情報をご参照ください。

http://www.microsoft.com/japan/technet/security/bulletin/MS01-020.asp

この脆弱性が存在するコンピュータでは、電子メールの添付ファイルが自動的に実行される可能性があり、
このワームが添付された電子メールを受け取ったとき、このウイルスに感染することがあります。
アンチウイルスプログラムの更新の有無に関わらず、まず、上記Microsoft社のWebサイトをご確認の上、
対応する修正プログラムを適用してください。

このワーム本体のファイルの拡張子は、.pif, .exe, .scr, または .zip です。
このワームのサイズは、29,568バイトです。

メールの題名は次のいずれかになります。

approved
corrected
hello
here
hi
important
improved
patched
Re: Administration
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Encrypted Mail
Re: Error
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Mail Authentification
Re: Mail Server
Re: Message Error
Re: Notify
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Secure delivery
Re: Secure SMTP Message
Re: SMTP Server
Re: Status
Re: Test
Re: Thank you for delivery
read it immediately
thanks!

これらのメールの題名のいくつかには、さらにその先頭に "Re:" が付加されることがあります。
例えば、次のようです。

Re: Re: Notify
Re: corrected

メールの本文は、以下の3つの文章が順に組み合わされたものになります。

最初の文章は、次のいずれかです。

Bad Gateway: The message has been attached.
Delivered message is attached.
Encrypted message is available.
ESMTP [Secure Mail System #334]: Secure message is attached.
First part of the secure mail is available.
Follow the instructions t read the message.
For further details see the attachment.
For more details see the attachment.
Forwarded message is available.
New message is available.
Now a new message is available.
Partial message is available. Waiting for a Response. Please read the attachment.
Please authenticate the secure message.
Please confirm my request.
Please read the attachment t get the message.
Protected Mail System Test.
Protected message is attached.
Protected message is available.
Secure Mail System Beta Test.
SMTP: Please confirm the attached message.
Waiting for authentification.
You got a new message.
You have received an extended message. Please read the instructions.
Your requested mail has been attached.

二番目の文章は次のいずれかです。

Authentication required.
I have attached your document.
I have received your document. The corrected document is attached.
Please confirm the document.
Please read the attached file!
Please read the document.
Please read the important document.
Please see the attached file for details.
Requested file.
See the file.
Your details.
Your document is attached t this mail.
Your document is attached.
Your document.
Your file is attached.

三番目の文章は次のいずれかです。

+++ Attachment: N Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: N Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

+++ Attachment: N Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: N Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: N Virus found
+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: N Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: N Virus found
++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: N Virus found
++++ Norton AntiVirus - www.symantec.de

添付ファイル名にも多数の候補があり、代表的には次のような名前が挙げられます。

data
details
document
message
msg
readme

これらの添付ファイル名に、"_"を続けて、メール受信者のアカウント名が付加されることもあります。
例えば、メール受信者のアカウント名がjuanであれば、次のようです。

data_juan
details_juan
document_juan
message_juan
msg_juan
readme_juan

添付ファイルの拡張子は、次のいずれかです。

.doc[多数の空白].exe
.doc[多数の空白].pif
.doc[多数の空白].scr
.doc.exe
.doc.pif
.doc.scr
.exe
.pif
.scr
.txt[多数の空白].exe
.txt[多数の空白].pif
.txt[多数の空白].scr
.txt.exe
.txt.pif
.txt.scr
.zip

ここで、[多数の空白]には、60個から80個のスペースが入ります。添付ファイルの拡張子が.zipであるとき、圧縮されているファイルのファイル名は、次のいずれかになります。

data.rtf[多数の空白].scr
details.txt[多数の空白].pif
document.txt[多数の空白].exe

[注意]

例えば、

" readme.txt　　　　　　　　　　　　　　　　.pif"

のように長い空白を含むファイル名をもつファイルが添付されていたり、.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、readme.txt が添付または圧縮されているように見えることがあるので、そのままファイルを開いたり、解凍して実行することは危険です。必ず添付ファイルの拡張子や解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません。

このワームが実行されると、感染したコンピュータには、次のファイルが作成されて、実行されます。

c:\windows\fvprotect.exe
c:\windows\userconfig9x.dll

ここで、"c:\windows" は、Windowsフォルダです。
このワームは、次のレジストリエントリーを作成します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Norton Antivirus AV" = "c:\windows\fvprotect.exe"

HKLM\System\CurrentControlSet\Services\NPF

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NPF

また、このワームは、他のワームが作成したレジストリエントリーを削除することを試みます。このワームは、電子メールを経由して感染を広めるために、CD-ROMドライブを除くすべてのローカルドライブを検索して、次の拡張子を持つファイルからメールアドレスを取得します。

.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml

ただし、次の文字列を含むメールアドレスに対しては自分自身を送信しません。

@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@

このワームは、P2Pネットワークの共有フォルダを利用して感染を広めるために、すべてのローカルディスクドライブから、次の名前をもつフォルダを検索します。

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload

これらの名前をもつフォルダを発見したら、このワームはそれらのフォルダに自分自身のコピーを次のファイル名でコピーします。

1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.685にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。

■Win32/Netsky.Q 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。