日本ネットワークアソシエイツ(NAC)は7日、ウイルスNetskyの亜種で5日(米国時間)に発見された「Netsky.S」を危険度“中”で警告した。同社によると、6日より感染が拡大しているという。
Netsky.Sは、ウイルス「Netsky.R」の亜種で、添付ファイルを実行しなければ感染しないタイプだ。独自のSMTPエンジンで自分自身のコピーを送信するほか、特定の日時にP2Pファイル共有ソフトのWebサイトに対してDoS攻撃を仕掛ける。また、新たに搭載された機能として、バックドア機能が挙げられる。
実際に感染すると、Windowsフォルダに自分自身を「EasyAV.exe」としてコピーし、レジストリを改変することによってWindows起動時に自身も起動するようにする。次にTCP/IPポート6789番で待機し、攻撃者が感染先のPCに実行形式のファイルを送信した場合には、そのファイルを「(ランダムなファイル名).exe」として保存した後、実行する。
また、システムの日付が2004年4月13日から23日の場合には、以下のP2Pファイル共有ソフト5種のWebサイトに対してDoS攻撃を仕掛ける。
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us
さらに、システム上の拡張子「.txt」や「.html」「.eml」などのファイルを検査し、メールアドレスを収集。すべてのメールアドレスに対して、独自のSMTPエンジンを利用して自分自身のコピーを送信する。その際の差出人欄は詐称されており、件名や本文、添付ファイル名などはランダムに選択される。ただし、添付ファイルの拡張子は「.pif」で固定されている。
Netsky.Sに感染した疑いがある場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。そして「Netsky.S」として検出されたファイルをすべて削除し、レジストリを修正しなければならない。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要がある。
関連情報
■URL
Netsky.S
http://www.nai.com/japan/security/virN.asp?v=W32/Netsky.s@MM
■関連記事
・ シマンテックなど、Netskyの最新亜種「Netsky.R」を警告(2004/04/01)
( 大津 心 )
2004/04/07 12:50
- ページの先頭へ-
|