ウイルス情報

かかりやすさ:中

( Worm.NetSky.b )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年2月18日(水)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
    また、「Share」または、「Sharing」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、 発見したフォルダに自分自身をコピーします。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は.ZIPです。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンから探し出したアドレス、または、skynet@skynet.de

    件名:以下のいずれかになります。
     it
     hi
     fake
     for
     you
     hello
     immediately
     information
     read
     something
     stolen
     unknown
     warning

    本文:以下のいずれかになります。
     about me
     anything ok?
     do you? that's funny
     from the chatter
     greetings
     here
     here is the document.
     here it is
     here, the cheats
     here, the introduction
     here, the serials
     i found this document about you
     I have your password!
     i hope it is not true!
     i wait for a reply!
     i'm waiting ok
     information about you
     is that from you?
     is that true?
     is that your account?
     is that your name?
     kill the writer of this document!
     my hero
     read it immediately!
     read the details.
     reply
     see you
     something about you!
     something is fool
     something is going wrong
     something is going wrong!
     stuff about you?
     take it easy
     that is bad
     thats wrong why?
     what does it mean?
     yes, really?
     you are a bad writer
     you are bad
     you earn money
     you feel the same
     you try to steal
     your name is wrong

    添付ファイル:以下のいずれかのファイル名になります。
     aboutyou
     attachment
     bill
     concert
     creditcard
     details
     dinner
     disco
     doc
     document
     final
     found
     friend
     jokes
     location
     mail2
     mails
     me
     message
     misc
     msg
     nomoney
     note
     object
     part2
     party
     posting
     product
     ps
     ranking
     release
     shower
     story
     stuff
     swimmingpool
     talk
     textfile
     topseller
     website

    解凍した後の拡張子は、以下のいずれかになります。.doc.pifのように拡張子が2つある場合もあります。
     .doc
     .htm
     .rtf
     .text
     .com
     .exe
     .pif
     .scr
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
     HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run "service" =
     C:?WINNT?services.exe -serv (Windows 2000)
     C:?WINDOWS?services.exe -serv (Windows XP)

    また、以下のレジストリの値を削除します。
     HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
    "Taskmon"
    "Explorer"
     HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
    "Taskmon"
    "Explorer"
     HKEY_CLASSES_ROOT?CLSID?{E6FB5E20-DE35-11CF-9C87-00AA005127ED}?InProcServer32
     HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
    "KasperskyAv"
    "system."
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
     .adb
     .asp
     .dbx
     .doc
     .eml
     .htm
     .html
     .msg
     .oft
     .php
     .pl
     .rtf
     .sht
     .tbb
     .txt
     .uin
     .vbs
     .wab

    自分自身をコピー
    「Share」または、「Sharing」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、 発見したフォルダに自分自身をコピーします。ファイルは以下のいずれかになります。
     doom2.doc.pif
     sex sex sex sex.doc.exe
     rfc compilation.doc.exe
     dictionary.doc.exe
     win longhorn.doc.exe
     e.book.doc.exe
     programming basics.doc.exe
     how to hack.doc.exe
     max payne 2.crack.exe
     e-book.archive.doc.exe
     virii.scr
     nero.7.exe
     eminem - lick my pussy.mp3.pif
     cool screensaver.scr
     serial.txt.exe
     office_crack.exe
     hardcore porn.jpg.exe
     angels.pif
     porno.scr
     matrix.scr
     photoshop 9 crack.exe
     strippoker.exe
     dolly_buster.jpg.pif
     winxp_crack.exe