NOD32アンチウイルスで Win32/Netsky.S として検出するウイルスは、他社アンチウイルスソフトウェアでは
Netsky.R として検出することがあります。
Win32/Netsky.S は、電子メールの添付ファイルで拡散するワームです。差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。
添付ファイル名はランダムであり、拡張子は .pif です。このワームは、バックドアを仕掛けて、攻撃者が任意のファイルを実行することを可能にします。
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)
さらに、このワームは2つのプロセスを生成して、一方が終了するときに、他方を起動させるようになっています。これは常にこのワームが実行可能な状態にあるようにするものです。
このワーム本体は、実際には実行可能形式のファイルで、そのサイズは18,432バイトです。
差出(送信元)アドレスは、hanta@chiva.net と記載していることがありますが、これは偽装されています。
メールの題名は次のいずれかになります。これらが組み合わされることもあります。
Approved
Hello!
Hi!
Important
My details
Re:
Re: Approved
Re: Hello
Re: Hi
Re: Important
Re: My details
Re: Request
Re: Thanks you!
Re: Your details
Re: Your document
Re: Your information
Request
Thank you!
Your details
Your document
Your information
メールの本文は、以下の4つの文章が順に組み合わされたものになります。
最初の文章は、次のいずれかです。最初の文章が無い場合もあります。
Hello!
Hi!
二番目の文章は次のいずれかです。
Approved, here is the document.
For more details see the attached document.
For more information see the attached document.
Here is the [添付ファイル名].
Here is the document.
I have found the [添付ファイル名].
I have sent the [添付ファイル名].
I have spent much time for the [添付ファイル名].
I have spent much time for your document.
My [添付ファイル名] is attached.
My [添付ファイル名].
Note that I have attached your document.
Please have a look at the [添付ファイル名].
Please have a look at the attached document.
Please notice the attached [添付ファイル名].
Please notice the attached document.
Please read quickly.
Please read the [添付ファイル名].
Please read the attached document.
Please see the [添付ファイル名].
Please, [添付ファイル名].
See the document for details.
The [添付ファイル名] is attached.
The [添付ファイル名].
The requested [添付ファイル名] is attached!
Your [添付ファイル名] is attached.
Your [添付ファイル名].
Your file is attached to this mail.
ここで、[添付ファイル名]の部分は、添付ファイルの名前に置き換えられます。
三番目の文章は次のいずれかです。文章が無い場合もあります。
Thank you
Thanks
Yours sincerely
四番目の文章は次のいずれかです。
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new MCAfee OnlineAntiVirus
+++ Homepage: www.mcafee.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new F-Secure OnlineAntiVirus
+++ Visit us: www.f-secure.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Norton OnlineAntiVirus
+++ Free trial: www.norton.com
添付ファイル名は、次のいずれかからランダムに選ばれて、それに数字が連なります。
添付ファイルの拡張子は、.pif です。
abuse_list
account
answer
approved_document
approved_file
archive
concept
contact_list
corrected_document
description
detailed_document
details
developement
diggest
document
e-mail
excel_document
final_version
homepage
icq_number
important_document
improved_document
improved_file
information
instructions
letter
message
movie_document
new_document
notice
number_list
old_document
order
personal_message
phone_number
photo_document
picture_document
postcard
powerpoint_document
presentation_document
release
report
requested_document
sample
secound_document
story
summary
textfile
user_list
word_document
このワームが実行されると、感染したコンピュータには、次のファイルが作成されて、実行されます。
c:\windows\easyav.exe
c:\windows\uinmzertinmds.opm
ここで、"c:\windows" は、Windowsフォルダです。
このワームは、次のレジストリエントリーを作成します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"EasyAV" = "c:\windows\easyav.exe"
このワームは、電子メールを経由して感染を広めるために、CD-ROMドライブを除くすべてのローカルドライブを検索して、次の拡張子を持つファイルからメールアドレスを取得します。
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.msg
.nch
.ods
.oft
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.sys
.tbb
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml
このワームは、2004年4月14日から16日の間はメールを送信しません。
このワームは、バックドアを仕掛けて、TCP6789番ポートを開きます。これは攻撃者が遠隔からファイルを送信して実行することを可能にします。
このワームは、感染したコンピュータのシステム日付が2004年4月14日から2004年4月23日の間であるとき、次のサイトへのサービス拒否(DoS:
Denial of Service)攻撃を行います。
www.cracks.am
www.emule.de
www.freemule.net
www.kazaa.com
www.keygen.us
このワームのコードには、次のテキストが隠されています。
SOW WE HAVE PROGRAMMED OUR BACKDOOR,
IT CANNOT BE USED FOR SPAM RELAYING
,ONLY FOR NKYNET DISTRIBUTION,
OUR ADVICE: EDUCATE THE USERS OR
UPDATE THE SMTP PROTOCOL, AND HEURISTICS
CANNOT DETECT NKYNET, BECAUSES
NUMEROUS SCAMBLER, COMPRESSORS, AND
PROTECTORS EXISTS INCLUDING PROGRAMMING
NEW FEATURES.
OHANKS TO RUSSIA, AND THANKS TO WWW
FOR SUPPORT.
09:34 J.H, XUSSIA
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.705にて対応しています。