Internet Watch logo
記事検索
最新ニュース

添付ファイルが「message**.pif」の場合は、Netsky最新亜種の可能性あり

〜Trendmicro、「Netsky.Q」が日本と中国で拡がっていると警告

 米SymantecやTrendmicroは28日(米国時間)、ウイルスNetskyの最新亜種「Netsky.Q」を警告した。ただし、「現在調査中」として、詳細な情報は掲載されていない。なお、米Network Associates(NAI)ではこのウイルスを「W32/BinNote.a@MM」と命名している模様だ。

 Symantecによると、Netsky.QはNetskyの亜種「Netsky.P」の変形だとしている。また、詳細は“現在、調査中”だとして掲載されていない。また、Trendmicroでは、日本と中国で特に感染が拡がっていると分析している。

 編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”の共通点は、以下の通り。

件名:
Delivery (受信したメールアドレス)
Deliver Mail (受信したメールアドレス)
Error (受信したメールアドレス)
Failure (受信したメールアドレス)
Delivery Error (受信したメールアドレス)
Delivery Failed (受信したメールアドレス)
Delivery Bot (受信したメールアドレス)
Server Error (受信したメールアドレス)

のうちの何れかがランダムで選択される。

本文:
Mail Delivery System - This mail contains binary characters

------------- failed message -------------
ランダムな文字列

Received message has been attached.

添付ファイル:「message.pif」または「message**.pif(**はランダムな数字)」

 などが確認されている。ただし、本文は数種類の中からランダムに選ばれている模様だ。なお、本誌では詳細が分かり次第追ってレポートする。

【29日 18:45追記】

 Trendmicroは、ウイルス「Netsky.Q」に関する情報を更新した(ただし、英語サイトのみ)。Trendmicroによると、実際にNetsky.Qに感染すると、Windowsフォルダに「FIREWALLLOGGER.TXT」や「ZIPO0.TXT」として自分自身をコピーするほか、レジストリも改変するという。

 また、Netsky.Qは、Netsky.Pが悪用したのと同じIEの脆弱性「MS01-020」を利用する。この脆弱性を悪用されることによって、MS01-020を修正するパッチを適用していないユーザーは、Netsky.Qの添付ファイルが自動実行されるという。したがって、IE 5.5/5.01を利用中のユーザーはSP2を適用するか、もしくはIE 6.0にアップグレードすることが推奨される。ただし、パッチを適用しても、添付ファイルをダブルクリックしたら感染してしまうため、十分な注意が必要だ。

 Trendmicroでは、ウイルスパターン(定義)ファイル「842」以降で対応した。したがって、万が一感染の疑いがある場合には、ウイルス定義ファイルを842以降に更新した後にスキャンし、「Netsky.Q」として検知されたファイルをすべて削除する必要がある。また、改変されたレジストリを修正しなければならない。

【29日 22:00追記】

 なお、本誌では「Netsky.Q」に関する詳細情報を、こちらの記事で掲載したので参照してほしい。


編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”の一例。件名、本文、添付ファイルは数種類の候補からランダムに選ばれている模様だ 編集部の公開アドレス宛に届いている“Netsky.Qと思われるウイルス”は短時間にこれだけの数に上っている

関連情報

URL
  Symantec「Netsky.Q」(英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.q@mm.html
  トレンドマイクロ「Netsky.Q」(英文)
  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.Q
  NAI「W32/BinNote.a@MM」(英文)
  http://vil.nai.com/vil/content/v_101145.htm

関連記事
トレンドマイクロなど、ウイルス「Netsky.Q」の追加情報を公開(2004/03/29)
NAC、IEの脆弱性を悪用して添付ファイルを自動実行するNetsky.Pを警告(2004/03/23)


( 大津 心 )
2004/03/29 17:11

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.