米SymantecやTrendmicroは28日(米国時間)、ウイルスNetskyの最新亜種「Netsky.Q」を警告した。ただし、「現在調査中」として、詳細な情報は掲載されていない。なお、米Network Associates(NAI)ではこのウイルスを「W32/BinNote.a@MM」と命名している模様だ。
Symantecによると、Netsky.QはNetskyの亜種「Netsky.P」の変形だとしている。また、詳細は“現在、調査中”だとして掲載されていない。また、Trendmicroでは、日本と中国で特に感染が拡がっていると分析している。
編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”の共通点は、以下の通り。
件名:
Delivery (受信したメールアドレス)
Deliver Mail (受信したメールアドレス)
Error (受信したメールアドレス)
Failure (受信したメールアドレス)
Delivery Error (受信したメールアドレス)
Delivery Failed (受信したメールアドレス)
Delivery Bot (受信したメールアドレス)
Server Error (受信したメールアドレス)
のうちの何れかがランダムで選択される。
本文:
Mail Delivery System - This mail contains binary characters
------------- failed message -------------
ランダムな文字列
Received message has been attached.
添付ファイル:「message.pif」または「message**.pif(**はランダムな数字)」
などが確認されている。ただし、本文は数種類の中からランダムに選ばれている模様だ。なお、本誌では詳細が分かり次第追ってレポートする。
【29日 18:45追記】
Trendmicroは、ウイルス「Netsky.Q」に関する情報を更新した(ただし、英語サイトのみ)。Trendmicroによると、実際にNetsky.Qに感染すると、Windowsフォルダに「FIREWALLLOGGER.TXT」や「ZIPO0.TXT」として自分自身をコピーするほか、レジストリも改変するという。
また、Netsky.Qは、Netsky.Pが悪用したのと同じIEの脆弱性「MS01-020」を利用する。この脆弱性を悪用されることによって、MS01-020を修正するパッチを適用していないユーザーは、Netsky.Qの添付ファイルが自動実行されるという。したがって、IE 5.5/5.01を利用中のユーザーはSP2を適用するか、もしくはIE 6.0にアップグレードすることが推奨される。ただし、パッチを適用しても、添付ファイルをダブルクリックしたら感染してしまうため、十分な注意が必要だ。
Trendmicroでは、ウイルスパターン(定義)ファイル「842」以降で対応した。したがって、万が一感染の疑いがある場合には、ウイルス定義ファイルを842以降に更新した後にスキャンし、「Netsky.Q」として検知されたファイルをすべて削除する必要がある。また、改変されたレジストリを修正しなければならない。
【29日 22:00追記】
なお、本誌では「Netsky.Q」に関する詳細情報を、こちらの記事で掲載したので参照してほしい。
|
|
編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”の一例。件名、本文、添付ファイルは数種類の候補からランダムに選ばれている模様だ
|
編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”は短時間にこれだけの数に上っている
|
関連情報
■URL
Symantec「Netsky.Q」(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.q@mm.html
トレンドマイクロ「Netsky.Q」(英文)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.Q
NAI「W32/BinNote.a@MM」(英文)
http://vil.nai.com/vil/content/v_101145.htm
■関連記事
・ トレンドマイクロなど、ウイルス「Netsky.Q」の追加情報を公開(2004/03/29)
・ NAC、IEの脆弱性を悪用して添付ファイルを自動実行するNetsky.Pを警告(2004/03/23)
( 大津 心 )
2004/03/29 17:11
- ページの先頭へ-
|