Internet Watch logo
記事検索
最新ニュース

シマンテックやソフォス、ウイルス「Netsky.AA」を警告

~件名「Re:」と添付ファイルの拡張子「.pif」が特徴

Netsky.AA感染時に表示される偽のエラーメッセージ
 シマンテックやソフォスなどウイルス対策ベンダー各社は27日、ウイルス「Netsky」の最新亜種「Netsky.AA」を発見したと発表した。シマンテックでは、危険度を5段階中の“2”と評価している。Netsky.AAの登場により、Netsky亜種はアルファベットを一周し、今後は「.A○」の2桁表記で進行していくこととなる。

 Netsky.AAは、トロイの木馬型ウイルスでNetsky.Zの亜種。独自のSMTPエンジンを利用し、収集したすべてのメールアドレスへ自身のコピーを送信する点や、添付ファイルの拡張子が「.pif」なのが特徴だ。

 Netsky.AAに感染すると、「Out of system memory」と書かれた偽のエラーメッセージを表示する。次に、Windowsフォルダに自分自身を「winlogon.scr」としてコピーする。その後、レジストリを改変し、ユーザーログイン時に自分自身が起動するように変更する。その後、CD-ROMを除くC~Zまでのすべてのドライブの拡張子「.eml」「.txt」「.html」などからメールアドレスを抽出し、発見したすべてのメールアドレスに対して自分自身のコピーを送信する。送信時の特徴は以下の通り。

差出人:詐称する
件名:「Re: Document」「Re: Details」など38種類の候補からランダムに選択
本文:「Your document is attached.」など9種類の候補からランダムに選択
添付ファイル名:「Osam_Bin_Laden_Articel_42.pif」「My_Advice.pif」など37種類の候補からランダムに選択

 送信メールの特徴は、件名の一番最初にすべて「Re:」がつく点と、添付ファイルの拡張子がすべて「.pif」で統一されている点が挙げられる。したがって、このようなメールを発見した場合には、決して開かないように注意したい。

 万が一、自分のPCが感染した疑いがある場合には、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、システム全体をスキャンする。その後、「Netsky.AA」として検出されたファイルをすべて削除し、レジストリを修正する必要がある。なお、Windows XP/Meを利用している場合には、これらの作業を行なう前に「システムの復元オプション」を無効にする必要があるので、注意が必要だ。


関連情報

URL
  ソフォス「Netsky.AA」
  http://www.sophos.co.jp/virusinfo/analyses/w32netskyaa.html
  シマンテック「Netsky.AA」(英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.aa@mm.html

関連記事
Netsky“Z”が登場~遂に全アルファベットを制覇(2004/04/23)


( 大津 心 )
2004/04/28 15:57

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.