Internet Watch logo
記事検索
最新ニュース

収集したすべてのメールアドレスに対して送信するウイルス「Netsky.B」

〜「The file could not be opened!」と出たら、感染の疑いあり

編集部にきたウイルス「Netsky.B」の一例。このキャプチャーでは添付ファイルは写っていないが、拡張子がふたつ並んでいる点が特徴だ

感染時に表示されるエラーメッセージの一例。これが出たら感染の疑いがあるため、念のためウイルスチェックした方が良いだろう
 シマンテックやトレンドマイクロなどのウイルス対策ソフトベンダー各社は18日、大量メール送信型のウイルス「Netsky.B」が感染を拡大しているとして警告した。シマンテックでは危険度“4”、トレンドマイクロは危険度“中”と評価している。

 Netsky.Bは大量メール配信型ウイルスで、PC内で収集したメールアドレス宛てに自分自身を送信するほか、共有フォルダに自身をコピーしてファイル共有ソフトでも感染拡大を試みる点が特徴だ。

 実際にNetsky.Bに感染すると、まず「The file could not be opened!」というエラーメッセージが表示される。続いてPCのWindowsフォルダに自分自身を「services.exe」としてコピーし、レジストリを改変する。また、レジストリから「Taskmon」や「Explorer」といった値を削除する。

 次に、PC上のC:〜Z:ドライブにある拡張子「.txt」「.html」「.doc」といったファイルからメールアドレスを収集し、収集したすべてのメールアドレスに対して独自のSMTPエンジンで自分自身のコピーを送信する。送信時の件名や本文、添付ファイル名などは数十種類からランダムに選択されるため、特定しにくい。ただし、添付ファイルはZIPで圧縮されているか、拡張子が2つ並んでいる場合が多い点が特徴であるため、このような場合には注意が必要だ。

 続いて、PC上のC:〜Z:ドライブから文字列「sharing」か「share」を含むフォルダを探し出し、見つけた場合には自分自身のコピーを作成する。シマンテックによると、この行為はファイル交換ソフト「Kazaa」などでの感染を狙ったものだという。

 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Netsky.B」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。

 なお、シマンテックでは、19日12時時点で約40の企業を含む260件(ワールドワイド)の報告を受けているという。また、ここ4時間でさらに報告数が増加しており、1時間あたりの報告件数は平均40件に達したとコメントした。


関連情報

URL
  シマンテック
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.netsky.b@mm.html
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.B


( 大津 心 )
2004/02/19 13:26

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.