Internet Watch logo
記事検索
最新ニュース

Netsky亜種が続々発生〜セキュリティベンダー各社、「X」「Y」に警告

〜Z以降は、「.A○」の2桁表記に

 シマンテックなどウイルス対策ベンダー各社は20日、ウイルス「Netsky」の最新亜種「Netsky.X」「Netsky.Y」を発見したと警告した。シマンテックでは、いずれも危険度を“3”、感染力を“高”とし注意を促している。

 Netsky.Xは、4月16日ごろに発見され、日本を中心に感染を拡げているウイルス「Netsky.W」の亜種。Netsky.Yは、この「X」の亜種だ。いずれもほかの亜種と同様に、メールの添付ファイルを介して感染を拡げる。添付ファイルは、Netsky.Xでは「.pif」の拡張子、Netsky.Yでは「www.(ランダムなドメイン名).(ランダムなユーザー名).session-(ランダムな数字).com」のファイル名を持つものとなっている。

 感染すると、Windowsのインストール・フォルダに自分自身をコピーし、レジストリを改変する。続いて、システム上の拡張子「.txt」や「.html」「.eml」などのファイルを検査し、メールアドレスを収集。収集したすべてのメールアドレスに対して、独自のSMTPエンジンを利用して以下の内容のメールを送信する。

送付されるメールの内容
項目 ■Netsky.X ■Netsky.Y
差出人 詐称する
件名 発見されたメールアドレスによって複数の候補から選択 Delivery failure notice(ID-ランダムな数字)
本文 発見されたメールアドレスによって複数の候補から選択 --- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.(ランダムな文字列)
Exim Status OK.
(複数候補から選択された文字列) message is available.
添付ファイル名 (発見されたメールアドレスによって複数の候補から選択された文字列).pif www.(ランダムなドメイン名).(ランダムなユーザー名).session-(ランダムな数字).com


 また、システムの日付が4月28日から30日の間にある場合、「www.nibis.de」「www.medinfo.ufl.edu」「www.educa.ch」の3サイトに対してDoS攻撃を仕掛ける。このほか、ポート82番にバックドアを開き、不正なリモートアクセスを許可する機能も備えている。

 感染した場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。その後、「Netsky.X」もしくは「Netsky.Y」として検出されたファイルをすべて削除し、レジストリを修正しなければならない。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要がある。

 なお、シマンテックではNetsky用の駆除ツールをすでに提供しており、最新の亜種にも対応した。「国内ではまだ感染報告はないが、十分警戒して欲しい」(Symantec Security Responseの星澤裕二氏)としている。

 これでNetsky亜種は“Y”まで進んだことになり、残されたアルファベットは“Z”のみとなる。編集部の取材によると「Z以降は、『.A○』という2桁の表記になる」(トレンドマイクロ)という。また、「過去の例では、3桁表記まで進んだ例もある」(星澤氏)とのこと。


関連情報

URL
  Netsky.X
  http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.x@mm.html
  Netsky.Y
  http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.y@mm.html
  駆除ツール
  http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky@mm.removal.tool.html

関連記事
新たにバックドア機能を搭載した「Netsky.S」が感染拡大に伴い警告(2004/04/07)


( 鷹木 創 )
2004/04/21 14:28

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.