PR

 米Network Associatesのウイルス対策技術研究機関であるAnti-Virus Emergency Response Team(McAfee AVERT)が米国時間3月1日,大量の電子メールを送信するNetskyワームの亜種「W32/Netsky.d@MM」(または「Netsky.d」)について警告を発した。Network Associates社による危険度の評価は「中」。同社は同ワームの情報や対応策を,Webサイトで提供している。

 AVERTによると,Netsky.dは同日未明に発見されたばかりにもかかわらず,現時点ですでに約200件のサンプルを顧客から入手したほか,ワーム自身の送信した電子メールが世界各地から届いているという。

 Netsky.dは,自分の複製を拡張子「.PIF」のファイルとして電子メールに添付し,それを感染したパソコン上で見つけた電子メール・アドレスに送信して広がる。CドライブからZドライブ上のフォルダに複製を作成するほか,ワーム「W32/Mydoom.a@MM」および「W32/Mydoom.b@MM」を非活性化させる。

 Netsky.dは実行されるとWINDOWディレクトリに「WINLOGON.EXE」というファイル名で自身を複製し,レジストリにキー「"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"ICQNet" = %WinDir%\WINLOGON.EXE -stealth" 」を加える。こうすることで,システム起動時にWINLOGON.EXEを実行し,活動を継続させる。

 そのほかに,Netsky.dの祖先に当たり現在も危険度「中」の状態にある「W32/Netsky.b@MM」「W32/Netsky.c@MM」と同様の動作をするという。特にW32/Netsky.c@MMの亜種と同じく,予想外に大量のネットワーク・トラフィックや,PtoPネットワーク経由の通信を発生させる。さらに,ある特定の日時にパソコンのスピーカからランダムな音を鳴らすようプログラムしてある。

 Netsky.dは,送信する電子メールの「From(発信者)」行を,感染したパソコン上で見つけた電子メール・アドレスを使って偽装するので,発信元の特定は難しい。

 同ワームが添付される電子メールのそのほかの特徴は以下の通り。

【Subject(件名)】
・Re: Hello
・Re: Hi
・Re: Thanks!
・Re: Document
・Re: Message
・Re: Here
・Re: Details
・Re: Your details
・Re: Approved
・Re: Your document
・Re: Your text
・Re: Excel file
・Re: Word file
・Re: My details
・Re: Your music
・Re: Your bill
・Re: Your letter
・Re: Document
・Re: Your website
・Re: Your product
・Re: Your document
・Re: Your software
・Re: Your archive
・Re: Your picture
・Re: Here is the document

【本文】
・Here is the file.
・Your file is attached.
・Your document is attached.
・Please read the attached file.
・Please have a look at the attached file.
・See the attached file for details.

 またスペインのPanda Softwareと米Eset Softwareも同日,同ワームに関する情報などを発表した。Panda Software社によると,同ワームは2004年3月2日の午前6時から午前8時59分にかけて,パソコンでランダムな音を鳴らすという。同社は対策ツールをWWWサイトで無償提供している。

◎関連記事
米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
米Network Associatesが「W32/Netsky.b@MM」を警告,危険度は「中」
「メールやファイル共有で感染を広げる『Netsky.B』に注意」――CERT/CCや警察庁
アンチウイルス・ベンダー各社が,Mydoom感染マシンを狙う新たなワーム「Doomjuice」を警告
「『MyDoom』がインターネット史上最悪の急拡大,『SoBig.F』をはるかに上回る」,米社が報告
Mydoomの亜種「Mydoom.B」が出現,「オリジナルよりさらに危険」
新たなワーム「Mydoom」が急速に拡大,「Sobig.Fなみの感染力」とアンチウイルス・ベンダー各社が警告
2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に

[発表資料(Network Associates社)]
[発表資料(Panda Software社)]
[発表資料(Eset Software社)]