「W32/Netsky」ウイルスの亜種に関する情報
最終更新日:2004年 3月 3日
更新履歴
2004年 2月20日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
W32/Netsky ウイルスの亜種が次々に出現し(2/24: Netsky.C、3/1: Netsky.D)、届出が多数寄せられています。(3/2〜3日で 50 件以上)
これらのウイルスは、メールの添付ファイルを開くことで感染します。英語の件名で添付ファイル付きのメールは安易に開かないようご注意ください。(亜種により、メールの件名、添付ファイル名や作成されるファイル名が異なります。)
また、ワクチンソフトの定義ファイルを更新していないと発見できないことがありますので、最新の定義ファイルに更新してください。
このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
なお、このウイルスは2月19日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーの Web サイトを参照して、最新のウイルス定義ファイルに更新して下さい。
影響を受けるシステム
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP
概要
このウイルスは、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡散する活動を行います。
感染すると、自分自身を Windows ディレクトリに services.exe としてコピーします。さらに、レジストリファイルを変更することによって、Windows
の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたとき、偽のエラーメッセージを表示し、感染したことに気付かせないようにしています。
さらに、「share」、「sharing」という単語を含むフォルダ名を検索し、発見したフォルダに自分自身をコピーします。
メール送信活動:
感染したコンピュータ内のうち、特定の拡張子(.doc, .wab, .txt, .htm, .html など)のファイルからメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、添付ファイルは次のようになり、差出人アドレスは詐称されます。
- 件名: 以下のいずれかひとつ
- * hi
- * hello
- * read it immediately
- * something for you
- * warning
- * information
- * stolen
- * fake
- * unknown
- 本文: 複数の候補からランダムに選択(以下は一部)
- * anything ok?
- * what does it mean?
- * i'm waiting
- * read the details.
- * here is the document.
- * read it immediately!
- 添付ファイル名: 二重拡張子になるケースと zip ファイルになるケースがあります。
- * ランダムな文字列 + { .txt , .rtf , .doc , .htm} + {.exe , .scr , .com , .pif }
- * ランダムな文字列 .zip
対応方法
添付ファイルを開くことなく、当該メールをそのまま削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」 して下さい。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。
修復ツール提供サイト
- トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/stinger.asp - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.netsky.b@mm.removal.tool.html - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/netskyb.html - ソフォス:
http://www.sophos.co.jp/support/disinfection/netskyb.html
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アンラボ:
Win32/Netsky.worm.22016: http://japan.ahnlab.com/virusinfo/view.asp?seq=805
Win32/Netsky.worm.25352: http://japan.ahnlab.com/virusinfo/view.asp?seq=807
Win32/Netsky.worm.17424: http://japan.ahnlab.com/virusinfo/view.asp?seq=813 - シマンテック:
W32.Netsky.B@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.b@mm.html
W32.Netsky.C@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.c@mm.html
W32.Netsky.D@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.d@mm.html - ソフォス:
W32/Netsky-B : http://www.sophos.co.jp/virusinfo/analyses/w32netskyb.html
W32/Netsky-C : http://www.sophos.co.jp/virusinfo/analyses/w32netskyc.html
W32/Netsky-D : http://www.sophos.co.jp/virusinfo/analyses/w32netskyd.html - トレンドマイクロ:
WORM_NETSKY.B : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_NETSKY.B
WORM_NETSKY.C : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_NETSKY.C
WORM_NETSKY.D : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_NETSKY.D - 日本エフセキュア:
NetSky.B : http://www.f-secure.co.jp/v-descs/v-descs3/netskyb.html
NetSky.C : http://www.f-secure.co.jp/v-descs/v-descs3/netskyc.htm
NetSky.D : http://www.f-secure.co.jp/v-descs/v-descs3/netskyd.htm - 日本ネットワークアソシエイツ:
W32/Netsky.b@MM : http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.b@MM
W32/Netsky.c@MM : http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.c@MM
W32/Netsky.d@MM : http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.d@MM
ウイルス対策のトップページはこちらをご覧下さい。
更新履歴
| 2004年 3月 3日 | 新たな亜種(Netsky.C、D)について記載。リンク追加。 |
|---|---|
| 2004年 2月20日 | 掲載 |