「W32/Netsky」ウイルスの亜種(Netsky.Q)に関する情報
最終更新日:2004年 4月 6日
更新履歴
2004年 3月29日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
なお、このウイルスは3月29日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーの Web サイトを参照して、最新のウイルス定義ファイルに更新して下さい。
【注意喚起】W32/Netsky.Qが行うDoS攻撃に加担しないように
W32/Netsky.Qに感染しているマシンを2004年4月8日〜11日の間に起動すると、別掲のサイトに対し DoS 攻撃(サービス妨害攻撃) を行います。
したがいまして、事前に下記の方法により感染の有無を確認して、当該日に、DoS 攻撃の発信元にならないよう対処されることを強くお奨めします。
エクスプローラを起動し、Windows ディレクトリにsysmonxp.exeという名称のファイルが存在するかどうか検索する。存在すれば、感染しているので、修復方法の項を参照して、修復ツール等を用いて対処する。
現在、 IPA で検知しているNetsky付きのメールの件数は、依然として多い状況であることから、ウイルスの駆除を実施していないユーザが多数存在していると推測されます。
影響を受けるシステム
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP
概要
このウイルスは、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡散する活動を行います。
感染すると、Windows ディレクトリに zipo0.txt、zipo1.txt、zipo2.txt、zipo3.txt、zippedbase64.tmp、base64.tmp、sysmonxp.exe、firewalllogger.txt をコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたとき、メッセージを表示することがあります。
メール送信活動:
感染したコンピュータ内からメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、添付ファイル名は次のようになり、差出人アドレスは詐称されます。
- 件名: 以下のいずれかひとつ
* Mail Delivery System (<受取人メールアドレス>)
* Failure (<受取人メールアドレス>)
* Delivered Message (<受取人メールアドレス>)
* Deliver Mail (<受取人メールアドレス>)
* Delivery Error (<受取人メールアドレス>)
例: Delivery Error (virus-test@ipa.go.jp) - 添付ファイル名:
* { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
例: date7386.pif 、 message19392.zip など
DoS攻撃:
システム日付が 2004年4月8日〜11日の場合、以下のサイトに対し DoS 攻撃(サービス妨害攻撃)を行います。
* www.edonkey2000.com
* www.kazaa.com
* www.emule-project.net
* www.cracks.am
* www.cracks.st
対応方法
添付ファイルを開くことなく、当該メールをそのまま削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」 して下さい。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意してください。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報
- アンラボ:
Win32/Netsky.worm.28008: http://japan.ahnlab.com/virusinfo/view.asp?seq=843 - シマンテック:
W32.Netsky.Q@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.q@mm.html - ソフォス:
W32/Netsky-Q : http://www.sophos.co.jp/virusinfo/analyses/w32netskyq.html - トレンドマイクロ:
WORM_NETSKY.Q : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_NETSKY.Q - 日本エフセキュア:
NetSky.Q : http://www.f-secure.co.jp/v-descs/v-descs3/netskyq.htm - 日本ネットワークアソシエイツ:
W32/Netsky.q@MM : http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.q@MM
ウイルス対策のトップページはこちらをご覧下さい。
更新履歴
| 2004年 4月 6日 | IPAにおけるNetsky付きメールの検知状況の図を追加。 |
|---|---|
| 2004年 4月 2日 | 2004年4月8日から開始されるDoS攻撃に関する注意喚起を追加。 |
| 2004年 3月30日 | 概要を追記。リンク追加。 |
| 2004年 3月29日 | 掲載 |