ウイルス情報

ネットスカイ・J

( Worm.Netsky.j )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

--

更新日：

2004年3月8日(月)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、知らないうちにウイルスを添付したメールを無断送信します。これらはメールソフトで送るわけではないので、自覚症状はありません。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  使用される拡張子は「.pif」です。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  
  件名:以下のいずれかの可能性があります。
  　Hi
  　Your product
  　Your letter
  　Re: corrected homework
  　Re: I've found your document
  　Re: Your bill
  　Re: hello again
  　Re: hi again
  　Re: part 3
  　Re: important document part 2
  　Re: important
  　Re: Your data
  　Re: Your application
  　Re: your music
  　Re: excel document
  　Re: Re: Re: word document
  　Re: Your details
  　Re: My details
  　Re: Your requested file
  　Re: Read it immediately
  　Re: Approved
  　Re: Your software
  　Re: my memberlist
  　Re: Your document
  　Re: Your file
  　Re: Your important document
  　www.%s.tripod.com
  　Hi Mr. %s
  　Moi %s
  　He %s
  　Yours faithfully, %s
  　Message to %s
  　Hi Mrs. %s
  　Is %s.doc yours?
  　Is %s.xls yours?
  　Whats up %s
  　www.paypal.com/%s
  　%s
  　Na %s
  　Best %s
  　Love %s
  　Good morning %s
  　Have a good day %s
  　Dear %s
  　To %s , it's me
  　Welcome %s
  　Moin %s
  　Hello %s
  　Your account %s is expired!
  　Hey %s
  　Hi %s
  　www.%s.freepage.com, your website
  　Hi %s, your product
  　Hello %s, your letter
  　Re: Hi %s, your archive
  　Re: %s, your text
  　Re: Hello %s, your bill
  　Re: Hi %s, your details
  　Re: Hello %s, my details
  　Re: Hi %s, your word file
  　Re: Hello %s, your excel file
  　Re: Hi %s, details
  　Re: Hello %s, Approved
  　Re: Hello %s, your software
  　Re: Hi %s, your music
  　Re: Dear %s, Here
  　Re: Re: Re: Hello %s, your document
  　Re: Hi %s
  　Re: Dear %s, Hi
  　Re: Re: Hi %s, your message
  　Re: Here %s, your picture
  　Re: Hi %s, here is the document
  　Re: Hello %s, your document
  　Re: %s, thanks!
  　Re: Re: %s, thanks!
  　Re: Re: Hi %s, document
  　Re: Hello %s, document
  　Re: Hello
  　Re: Hi
  　Re: Thanks!
  　Re: Document
  　Re: Details
  　Re: Your detail
  　Re: Approved
  　Re: Your document
  　Re: Your text
  　Re: Excel file
  　Re: Word file
  　Re: My details
  　Re: Your music
  　Re: Your bill
  　Re: Your letter
  　Re: Document
  　Re: Your website
  　Re: Your product
  　Re: Your document
  　Re: Your software
  　Re: Message
  　Re: Here
  　Re: Your archive
  　Re: Your picture
  　Re: Here is the document
  
  本文:以下のいずれかの可能性があります。
  　Here is the file. My password is %i.
  　I have an interesting document about you.
  　I have corrected your document.
  　My details are in the attached file.
  　Note that I have attached your file.
  　Please do not forget to read the important document.
  　Please have a look at the attached file. Password for decrypting is %i.
  　Please read the attached file. Password for the file is %i.
  　Please read the document. It's important.
  　See the attached file for details. Password is %i.
  　See the attachment for further details.
  　The important document is attached.
  　The sample is attached.
  　Your document is attached to this mail.
  　Your document is attached. Your password is %i.
  　Your file is attached to this mail.
  　Your file is attached. Use this password for the file: %i .
  　Your personal document is attached.
  　Here is the file.
  　Your file is attached.
  　Your document is attached.
  　Please read the attached file.
  　Please have a look at the attached file.
  　See the attached file for details.
  
  添付ファイル:以下のいずれかの可能性があります。
  　website_%s.pif
  　%s_all_document.pif
  　%s_application.pif
  　mp3music_%s.pif
  　yours%s.pif
  　document_%s4351.pif
  　%s_picture.pif
  　%s_file.pif
  　%s_message_details.pif
  　yourpicture%s.pif
  　your_product_%s.pif
  　letter_%s.pif
  　archive%s.pif
  　your_text%s.pif
  　bill_%s.pif
  　your_details%s.pif
  　%s_details.pif
  　%s_document_word.pif
  　%s_document_excel.pif
  　%s_my_details.pif
  　%s_document_full.pif
  　%s_your_message_part2.pif
  　%sinformation.pif
  　%sdocument.pif
  　%s_your_document.pif
  　your_website.pif
  　your_product.pif
  　your_letter.pif
  　your_archive.pif
  　your_details.pif
  　document_word.pif
  　all_document.pif
  　application.pif
  　your_picture.pif
  　document_excel.pif
  　document_4351.pif
  　yours.pif
  　your_text.pif
  　your_bill.pif
  　mp3music.pif
  　document.pif
  　my_details.pif
  　your_file.pif
  　document_full.pif
  　message_part2.pif
  　your_document.pif
  　message_details.pif
  
• レジストリの値を作成
  添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  　C:\WINDOWS\AVPGUARD.EXE（Windows 98/Me/XP）
  　C:\WINNT\AVPGUARD.EXE（Windows 2000）
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  　"My AV" = %WinDir%\AVPGUARD.EXE -av serv
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  　"ICQ Net" = %WinDir%\WINLOGON.EXE -stealth
  
  以下のレジストリの値を削除します。
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "au.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Explorer"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "KasperskyAv"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Services Host"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "My AV"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "OLE"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Taskmon"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sate.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "ssate.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "srate.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysmon.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "rate.exe"
  　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "gouday.exe"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "DELETE ME"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Explorer"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "KasperskyAv"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Services Host"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "My AV"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "msgsvr32"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Sentry"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "service"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "system."
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Taskmon"
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "system."
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "system"
  　HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
  　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
  　KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  　.adb
  　.asp
  　.cgi
  　.dbx
  　.dhtm
  　.doc
  　.eml
  　.htm
  　.oft
  　.php
  　.pl
  　.rtf
  　.sht
  　.shtm
  　.msg
  　.tbb
  　.txt
  　.uin
  　.vbs
  　.wab
  
  しかし、以下の文字列を含むアドレスに対しては送信されません。
  　abuse
  　andasoftwa
  　antivi
  　antivir
  　aspersky
  　automail
  　avp
  　cafee
  　fbi
  　f-pro
  　freeav
  　f-secur
  　icrosoft
  　iruslis
  　itdefender
  　messagelabs
  　noreply
  　orman
  　orton
  　responder
  　skynet
  　sophos
  　spam
  　ymantec
  
• 「マイドゥーム」ウイルスの停止
  このウイルスは、現在大流行している「マイドゥーム」（W32/Mydoom@MM）と「マイドゥーム・ビー」（W32/Mydoom.b@MM）を駆除しようとします。
  そのような行動をとるとは言え、ウイルスであることに変わりはありませんので、ご注意ください。