キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Netsky.Z
公開日:2004年04月26日
このウイルスに関する危険度 :■■□□
対応定義ファイル 定義ファイルバージョン1.730 (20040421) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


■Win32/Netsky.Z

Win32/NetSky.Z は、電子メールの添付ファイルで拡散するワームです。
その実行可能形式のファイルは暗号化されており、そのサイズは 22,016バイトです。

注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

メールの題名は次のいずれかからランダムに選ばれます。

Important
Information
Hello
Hi
Document

メールの本文は次のいずれかになります。

Important informations!
Important textfile!
Important!
Important data!
Important bill!
Important document!
Important notice!
Important details!

添付ファイル名は次のいずれかになります。いずれもZIP形式で圧縮されています。

Informations.zip
Textfile.zip
Part-2.zip
Data.zip
Bill.zip
Important.zip
Notice.zip
Details.zip

添付ファイルには、このワームの本体である実行形式のファイルが次のいずれかのファイル名で圧縮されています。

Informations.txt[多数の空白].exe
Textfile.txt[多数の空白].exe
Part-2.txt[多数の空白].exe
Data.txt[多数の空白].exe
Bill.txt[多数の空白].exe
Important.txt[多数の空白].exe
Notice.txt[多数の空白].exe
Details.txt[多数の空白].exe

このファイル(ワーム)は2つの拡張子をもっており、第一拡張子は"txt"のあとに多数の空白が続いています。実際の拡張子は"exe"ですので、この添付ファイルを実行したり解凍して開くことは危険です。
また、このファイルはWindowsのメモ帳のアイコンを表示します。これはこのファイルがあたかもテキストファイルであるかのように見せかけていますが、実際には実行可能形式のワーム本体のファイルであり、偽装していることに注意してください。

[注意]

例えば、

"Data.txt                .exe"

のように長い空白を含むファイル名をもつファイルが添付されていたり、.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、Data.txt が添付または圧縮されているように見えることがあるので、そのままファイルを開いたり、解凍して実行することは危険です。
必ず添付ファイルの拡張子や解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません

このワームが実行されると、このワームは自分自身を %windir%\Jammer2nd.exe としてコピーして、次のレジストリキーを作成して、システムの再起動時に活動を開始できるようにします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
" Jammer2nd" = "%windir%\Jammer2nd.exe"

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは、%windir% に次のファイルも作成します。これらのファイルは、このワームが送信するメールの内容を構成するために使われます。

pk_zip_alg.log
pk_zip1.log
pk_zip2.log
pk_zip3.log
pk_zip4.log
pk_zip5.log
pk_zip6.log
pk_zip7.log
pk_zip8.log

このワームは拡散を広げるために、すべてのローカルドライブを検索して、次の拡張子をもつファイルからメールアドレスを取得します。

.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.ppt
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xls
.xml

このワームはバックドアを仕掛けて、TCP665番ポートを開きます。接続できた場合、受信したデータはランダムな名前の実行可能ファイルとして保存されて、そのファイルが実行されてしまいます。

このワームは、感染したコンピュータのシステム日付が2004年5月2日から2004年5月5日の間であるとき、次のサイトへのサービス拒否(DoS: Denial of Service)攻撃を行います。

www.nibis.de
www.medinfo.ufl.edu
www.educa.ch

このワームの本体には、次のテキストが含まれています。

:::::::::::They never learn it!:::::::::::

Win32/NetSky.Z は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.730にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。

■Win32/Netsky.Z 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール nkzclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに保存してください。(例"c:\download")
2. nkzclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン結果

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。

検知したウイルスの駆除・削除の確認
 
以上で作業が完了しました。 [ OK ] ボタンを押してください。

再起動の確認
5. Windowsを再起動してください。以上で完了です。
このページのトップへ

(C)Canon IT Solutions Inc.