| 対応定義ファイル |
定義ファイルバージョン1.697 (20040329)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
4 -
感染が拡大している |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Netsky.R
NOD32アンチウイルスで Win32/Netsky.R として検出するウイルスは、他社アンチウイルスソフトウェアでは
Netsky.Q として検出することがあります。
Win32/Netsky.R は、電子メールの添付ファイルで拡散するワームです。差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。
このワームは、Microsoft Windows の既知の脆弱性の一つとして知られる、「不適切なMIMEヘッダーが原因でInternet
Explorerが電子メールの添付ファイルを実行する (MS01-020)」
を利用して活動します。詳細はMicrosoft社のセキュリティ情報をご参照ください。
http://www.microsoft.com/japan/technet/security/bulletin/MS01-020.asp
この脆弱性が存在するコンピュータでは、電子メールの添付ファイルが自動的に実行される可能性があり、このワームが添付された電子メールを受け取ったとき、このウイルスに感染することがあります。アンチウイルスプログラムの更新の有無に関わらず、まず、上記Microsoft社のWebサイトをご確認の上、対応する修正プログラムを適用してください。
このワームは、Petite圧縮ツールによりPE実行ファイルに圧縮された 28,008バイトのファイルです。
このワームが実行されると、自分自身を %WinDir%\SysMonXP.exe としてコピーします。ここで、%WinDir%
は、Winodws OS がインストールされたフォルダを意味します。
さらに、このワームは %WinDir%\Firewalllogger.txt (サイズは23,040バイト)を作成します。このファイルの拡張子は.txtですが、偽装されており、実際には電子メールで拡散するためのプログラムが含まれています。
このワームのコピーである %WinDir%\SysMonXP.exe が実行されると、このワームはWindowsのメモ帳プログラムを起動して、temp.eml
ファイルがあれば、それを開くことを試みます。その後、このワームは、Firewalllogger.txt をメモリにロードします。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)
このワームは、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"
SysMonXP" = "%Windir%\SysMonXP.exe"
このワームは、感染したコンピュータに次の一時的なファイル(拡張子は偽装されています)を作成します。
%WinDir%\base64.tmp(38,382バイトのファイル)
%WinDir%\zippedbase64.tmp(ワームを含むzip圧縮された28,330バイトのファイル)
%WinDir%\zipo0.txt(ワームを含むzip圧縮された38,834バイトのファイル)
%WinDir%\zipo1.txt(ワームを含むzip圧縮された38,822バイトのファイル)
%WinDir%\zipo2.txt(ワームを含むzip圧縮された38,826バイトのファイル)
%WinDir%\zipo3.txt(ワームを含むzip圧縮された38,826バイトのファイル)
このワームは、次のレジストリキーから以下の値を削除します。
これは他のワームの活動を停止させることを試みています。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
au.exe
d3dupdate.exe
DELETE ME
direct.exe
Explorer
gouday.exe
ICM version
jijbl
Microsoft IE Execute shell
Microsoft System Checkup
msgsvr32
OLE
rate.exe
Sentry
service
srate.exe
ssate.exe
sysmon.exe
system.
Taskmon
Video
Windows Services Host
Winsock2 driver
winupd.exe
yeahdude.exe
さらに、このワームは、次のレジストリキーを削除します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
HKEY_CLASSES_ROOT\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
このワームは拡散を広げるために、すべてのローカルドライブを検索して、次の拡張子をもつ
ファイルからメールアドレスを取得します。
.a
.ad
.adb
.as
.asp
.c
.cf
.cfg
.cg
.cgi
.d
.db
.dbx
.dh
.dht
.dhtm
.do
.doc
.e
.em
.eml
.h
.ht
.htm
.html
.j
.js
.jsp
.m
.mb
.mbx
.md
.mdx
.mh
.mht
.mm
.mmf
.ms
.msg
.n
.nc
.nch
.o
.od
.ods
.of
.oft
.p
.ph
.php
.pl
.pp
.ppt
.r
.rt
.rtf
.s
.sh
.sht
.shtm
.st
.stm
.t
.tb
.tbb
.tx
.txt
.u
.ui
.uin
.v
.vb
.vbs
.w
.wa
.wab
.ws
.wsh
.x
.xl
.xls
.xm
.xml
ただし、メールアドレスに次の文字列が含まれる場合は、このワームは自分自身を送信しません。
@antivi
@avp
@bitdefender
@fbi
@f-pro
@freeav
@f-secur
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@
このワームが自分自身のコピーを添付して送信する電子メールの題名は
次のいずれかなります。
Deliver Mail ([受取人のメールアドレス])
Delivered Message ([受取人のメールアドレス])
Delivery ([受取人のメールアドレス])
Delivery Bot ([受取人のメールアドレス])
Delivery Error ([受取人のメールアドレス])
Delivery Failed ([受取人のメールアドレス])
Delivery Failure ([受取人のメールアドレス])
Error ([受取人のメールアドレス])
Failed ([受取人のメールアドレス])
Failure ([受取人のメールアドレス])
Mail Delivery failure ([受取人のメールアドレス])
Mail Delivery System ([受取人のメールアドレス])
Mail System ([受取人のメールアドレス])
Server Error ([受取人のメールアドレス])
Status ([受取人のメールアドレス])
Unknown Exception ([受取人のメールアドレス])
メールの本文は、次のいずれかからランダムに選ばれた文章から始まります。
Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted
続けて、次の行の後、ランダムな文字列が続きます。
------------- failed message -------------
[ランダムな文字列]
さらに続けて、次のいずれかから選ばれた文章があります。
Note: Received message has been sent as a binary file.
Modified message has been sent as a binary attachment.
Received message has been sent as an encoded attachment.
Translated message has been attached.
Message has been sent as a binary attachment.
Received message has been attached.
Partial message is available and has been sent as a binary
attachment.
The message has been sent as a binary attachment.
さらに、次の文字列が含まれることがあります。
Or you can view the message at:
www.[受取人のドメイン名]/inmail/[受取人の名前]/mread.php?
sessionid-[ランダムな数値]
ここで、受取人のドメイン名や名前は、受取人のメールアドレスから取得できる
ドメイン名やメールアカウント名に置き換えられます。
添付ファイル名は次のいずれかになります。[ランダムな数値]は付加されないこともあります。
date[ランダムな数値]
mail[ランダムな数値]
msg[ランダムな数値]
message[ランダムな数値]
添付ファイルの拡張子は、.pif または .zip です。
.zipファイルが添付されていた場合、圧縮されているファイルのファイル名は、
次のいずれかになります。
data.eml[100文字の空白].scr
mail.eml[100文字の空白].scr
msg.eml[100文字の空白].scr
message.eml[100文字の空白].scr
[注意]
このように、.zip ファイルの中にワームが含まれることもあり、メールソフトや解凍ツールでは
.eml というファイルが圧縮されているように見えても、実際にはさらに拡張子が付いており、それらを解凍して実行してしまうと、感染してしまうこともあるので、注意が必要です。
例えば、"readme.txt .pif"
のように長い空白を含むファイル名をもつファイルが.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、readme.txt
が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません。
このワームは、2004年3月30日05:11になると、電子音を発生させることがあります。
このワームは、感染したコンピュータのシステム日付が2004年4月8日から2004年4月11日の間であるとき、次のサイトへのサービス拒否(DoS:
Denial of Service)攻撃を行います。
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cracks.am
www.cracks.st
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.697にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
■Win32/Netsky.R
駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|
