シマンテックなどウイルス対策ベンダー各社は、ウイルス「Netsky」の最新亜種「W32.Netsky.AD@MM」(シマンテックの呼称、以下Netsky.AD)を発見したと警告した。シマンテックでは危険度を“2”としながらも、感染力は“高”と評価している。なお、米Trendmicroなどほかのベンダーでは「Netsky.AF」と名付けている場合もある。
Netsky.ADは、独自SMTPを搭載してメールの添付ファイルのほか、P2Pソフトのファイル共有フォルダなどに自分自身をコピーし、感染を拡大するワーム型ウイルス。
Netsky.ADに感染すると、Windowsのインストールフォルダに自分自身を「Msnmsger.exe.exe」としてコピー。デスクトップに「File Corrupted replace this!!」が含まれたメッセージボックスを表示する。続いて、Windowsフォルダに「AIDS!.zip」「LINUSTOR.zip」「agua!.zip」など約30種類のファイル名から選択してウイルス自身をコピーする。
また、レジストリキーも改ざんし、Windowsが起動する際に必ずNetsky.ADが起動するように設定を変更。PC内のファイルからメールアドレスを収集して、ウイルスメールを発送する。メールの件名や本文、添付ファイル名は複数の候補から選択される仕組みだ。
さらに、KazaaなどのP2Pファイル共有ソフトなどで利用されるという「share」または「sharing」の文字列が含まれるフォルダにもウイルス自身をコピーする。このほか、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Taskmon"」「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Explorer"」「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"KasperskyAv"」など8つのレジストリキーエントリが存在する場合、これらのレジストリキーを削除するという。
感染してしまった場合は、改変されたレジストリキーを修正し、最新のウイルス定義ファイルを使ってスキャンした後、「Netsky.AD」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので注意が必要だ。
関連情報
■URL
W32.Netsky.AD@MM(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.netsky.ad@mm.html
WORM_NETSKY.AF(Trendmicro、英文)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.AF
( 鷹木 創 )
2004/10/14 19:43
- ページの先頭へ-
|