Internet Watch logo
記事検索
最新ニュース

MydoomやMimailなど、最近発生した5種類のウイルスを駆除するウイルス


編集部にきたウイルス「Netsky.C」の一例。このキャプチャーでは添付ファイルは写っていないが、拡張子がふたつ並んでいる点が特徴だ
 日本ネットワークアソシエイツ(NAC)やトレンドマイクロなどウイルス対策ベンダー各社は26日、メールやファイル共有ソフトで感染を拡げるウイルス「Netsky.C」を危険度“中”として警告した。トレンドマイクロでは、感染報告数“中”、ダメージ度“低”、感染力“高”と評価している。

 Netsky.Cは、システムに常駐するトロイの木馬型ウイルス。大量にメールを送信して感染を拡げるほか、KazaaやBearshareなどのP2Pファイル交換ソフトなどを利用した感染も試みるほか、最近発生した5種類のウイルスに関連したレジストリ値を削除する点が特徴だ。

 実際にNetsky.Cに感染すると、Windowsフォルダに自分自身を「WINLOGON.EXE」としてコピーし、レジストリを改変する。次に、PC内のHTMLファイルやアドレス帳を検索し、メールアドレスを収集し、独自のSMTPエンジンで自分自身のコピーを送信する。その際の件名や本文、添付ファイル名などは数十種類の候補からランダムに選択されるため、これらから特定することは難しい。件名は詐称する。ただし、添付ファイルは拡張子が2種類付いている点が特徴だ。

 続いて、C:~Z:ドライブ内を検索し、「shar」という文字列を含むフォルダを探す。この条件に合ったフォルダを発見した際には、「Norton Antivirus 2004.exe」や「Opera.exe」などといったファイル名で自分自身をコピーする。これは、KazaaやBearshareなどのP2Pファイル交換ソフトでの感染を狙ったものだとしている。

 またNACによると、最近流行したウイルス「Netsky.A」「Netsky.B」「Mydoom.A」「Mydoom.B」「Mimail.T」など5種類のウイルスに関するレジストリ値を削除し、駆除を試みるという。

 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「Netsky.C」として検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要がある。


関連情報

URL
  NAC
  http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.c@MM
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.C

関連記事
収集したすべてのメールアドレスに対して送信するウイルス「Netsky.B」(2004/02/19)


( 大津 心 )
2004/02/26 14:00

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.