ウイルス情報
かかりやすさ:中
ネットスカイ・B
( Worm.NetSky.b )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年2月18日(水)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
また、「Share」または、「Sharing」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、 発見したフォルダに自分自身をコピーします。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は.ZIPです。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンから探し出したアドレス、または、skynet@skynet.de
件名:以下のいずれかになります。
it
hi
fake
for
you
hello
immediately
information
read
something
stolen
unknown
warning
本文:以下のいずれかになります。
about me
anything ok?
do you? that's funny
from the chatter
greetings
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
i found this document about you
I have your password!
i hope it is not true!
i wait for a reply!
i'm waiting ok
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
my hero
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
thats wrong why?
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong
添付ファイル:以下のいずれかのファイル名になります。
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
解凍した後の拡張子は、以下のいずれかになります。.doc.pifのように拡張子が2つある場合もあります。
.doc
.htm
.rtf
.text
.com
.exe
.pif
.scr
- レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run "service" =
C:?WINNT?services.exe -serv (Windows 2000)
C:?WINDOWS?services.exe -serv (Windows XP)
また、以下のレジストリの値を削除します。
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
"Taskmon"
"Explorer"
HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
"Taskmon"
"Explorer"
HKEY_CLASSES_ROOT?CLSID?{E6FB5E20-DE35-11CF-9C87-00AA005127ED}?InProcServer32
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows? CurrentVersion?Run
"KasperskyAv"
"system."
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.adb
.asp
.dbx
.doc
.eml
.htm
.html
.msg
.oft
.php
.pl
.rtf
.sht
.tbb
.txt
.uin
.vbs
.wab
自分自身をコピー
「Share」または、「Sharing」という名前を含むフォルダ名を、ドライブ C から Z まで探し出し、 発見したフォルダに自分自身をコピーします。ファイルは以下のいずれかになります。
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe