シマンテックなどウイルス対策ベンダー各社は20日、ウイルス「Netsky」の最新亜種「Netsky.X」「Netsky.Y」を発見したと警告した。シマンテックでは、いずれも危険度を“3”、感染力を“高”とし注意を促している。
Netsky.Xは、4月16日ごろに発見され、日本を中心に感染を拡げているウイルス「Netsky.W」の亜種。Netsky.Yは、この「X」の亜種だ。いずれもほかの亜種と同様に、メールの添付ファイルを介して感染を拡げる。添付ファイルは、Netsky.Xでは「.pif」の拡張子、Netsky.Yでは「www.(ランダムなドメイン名).(ランダムなユーザー名).session-(ランダムな数字).com」のファイル名を持つものとなっている。
感染すると、Windowsのインストール・フォルダに自分自身をコピーし、レジストリを改変する。続いて、システム上の拡張子「.txt」や「.html」「.eml」などのファイルを検査し、メールアドレスを収集。収集したすべてのメールアドレスに対して、独自のSMTPエンジンを利用して以下の内容のメールを送信する。
送付されるメールの内容
項目 |
■Netsky.X |
■Netsky.Y |
差出人 |
詐称する |
件名 |
発見されたメールアドレスによって複数の候補から選択 |
Delivery failure notice(ID-ランダムな数字) |
本文 |
発見されたメールアドレスによって複数の候補から選択 |
--- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.(ランダムな文字列)
Exim Status OK.
(複数候補から選択された文字列) message is available.
|
添付ファイル名 |
(発見されたメールアドレスによって複数の候補から選択された文字列).pif |
www.(ランダムなドメイン名).(ランダムなユーザー名).session-(ランダムな数字).com
|
|
また、システムの日付が4月28日から30日の間にある場合、「www.nibis.de」「www.medinfo.ufl.edu」「www.educa.ch」の3サイトに対してDoS攻撃を仕掛ける。このほか、ポート82番にバックドアを開き、不正なリモートアクセスを許可する機能も備えている。
感染した場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。その後、「Netsky.X」もしくは「Netsky.Y」として検出されたファイルをすべて削除し、レジストリを修正しなければならない。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要がある。
なお、シマンテックではNetsky用の駆除ツールをすでに提供しており、最新の亜種にも対応した。「国内ではまだ感染報告はないが、十分警戒して欲しい」(Symantec Security Responseの星澤裕二氏)としている。
これでNetsky亜種は“Y”まで進んだことになり、残されたアルファベットは“Z”のみとなる。編集部の取材によると「Z以降は、『.A○』という2桁の表記になる」(トレンドマイクロ)という。また、「過去の例では、3桁表記まで進んだ例もある」(星澤氏)とのこと。
関連情報
■URL
Netsky.X
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.x@mm.html
Netsky.Y
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.y@mm.html
駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky@mm.removal.tool.html
■関連記事
・ 新たにバックドア機能を搭載した「Netsky.S」が感染拡大に伴い警告(2004/04/07)
( 鷹木 創 )
2004/04/21 14:28
- ページの先頭へ-
|