ウイルス情報

かかりやすさ:中

( Worm.NetSky.q )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年3月21日(日)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信します。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.zip、.scr、.pif、.exe」のいずれかです。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • このウイルスは、修正プログラムを適用していない人が、メールを閲覧またはプレビューするだけで添付ファイルが自動的に実行されてしまう、「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する(MS01-020)」という脆弱性を利用しています。
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
    件名:以下のいずれかの可能性があります。
     Stolen document
     Re:Hello
     Mail Delivery ( failure sender address )
     Private document
     Re:Notify
     Re:document
     Re:Extended Mail System
     Re:Proctected Mail System
     Re:Question
     Private document
     Postcard

    本文:以下のいずれかの可能性があります。
     I found this document about you.
     I have attached it to this mail.
     Waiting for authentification.
     Please confirm!
     Protected message is available
     Do not visit this illegal websites!
     Here is my phone number.
     I cannot believe that.
     Your file is attached.
     For further details see that attachment.
     Congratulations!, your best friend.
     Greetings from france, your friend.
     If the message will not displayed automatically, follow the link to read the delivered message.
     Received message is available at:
     (偽造されたwebリンク)

    添付ファイル:以下のファイル名の可能性があります。使用される拡張子は「.zip、.scr、.pif、.exe」のいずれかです。
     websites<ランダムな数字>.zip
     document<ランダムな数字>.zip
     your_document.zip
     part<ランダムな数字>.zip
     message.doc.scr
     message.zip
     document.zip
     old_photos.txt.pif
     postcard_.<ランダムな数字>..zip
     details<ランダムな数字>.zip

    レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
    以下に自分自身をコピーします。
     C:\WINDOWS\FVProtect.exe (Windows 98/Me/XP)
     C:\WINNT\FVProtect.exe (Windows 2000)
    同じ場所にファイルが展開されます。
     zip1.tmp
     zip2.tmp
     zip3.tmp
     zipped.tmp 
     userconfig9x.dll
     base64.tmp

    レジストリの値を作成します。
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Norton Antivirus AV"
     = %WinDir%\FVProtect.exe
    %WinDir%は、Windowsディレクトリです。

    ・ 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
     .xml
     .wsh
     .jsp
     .msg
     .oft
     .sht
     .dbx
     .tbb
     .adb
     .dhtm
     .cgi
     .shtm
     .uin
     .rtf
     .vbs
     .doc
     .wab
     .asp
     .php
     .txt
     .eml
     .html
     .htm
     .pl

    しかし、以下の文字列を含むアドレスには送信しません。
     reports@
     spam@
     noreply@
     @viruslis
     ntivir
     @sophos
     @freeav
     @pandasof
     @skynet
     @messagel
     abuse@
     @fbi
     @norton
     @f-pro
     @kaspersky
     @mcafee
     @norman
     @bitdefender
     @f-secur
     @avp
     @spam
     @symantec
     @antivi
     @microsof

    ・ ピアツーピア接続での繁殖
    以下の文字列を含むフォルダを検索します。
     lime
     bear
     icq
     shar
     upload
     http
     htdocs
     ftp
     shared files
     kazaa
     mule
     donkey
     morpheus
     download
     my shared folder

    以下のウイルスファイルを、上記のフォルダにコピーします。
     1001 Sex and more.rtf.exe
     3D Studio Max 6 3dsmax.exe
     ACDSee 10.exe
     Adobe Photoshop 10 crack.exe
     Adobe Photoshop 10 full.exe
     Adobe Premiere 10.exe
     Ahead Nero 8.exe
     Altkins Diet.doc.exe
     American Idol.doc.exe
     Arnold Schwarzenegger.jpg.exe
     Best Matrix Screensaver new.scr
     Britney sex xxx.jpg.exe
     Britney Spears and Eminem porn.jpg.exe
     Britney Spears blowjob.jpg.exe
     Britney Spears cumshot.jpg.exe
     Britney Spears fuck.jpg.exe
     Britney Spears full album.mp3.exe
     Britney Spears porn.jpg.exe
     Britney Spears Sexy archive.doc.exe
     Britney Spears Song text archive.doc.exe
     Britney Spears.jpg.exe
     Britney Spears.mp3.exe
     Clone DVD 6.exe
     Cloning.doc.exe
     Cracks & Warez Archiv.exe
     Dark Angels new.pif
     Dictionary English 2004 - France.doc.exe
     DivX 8.0 final.exe
     Doom 3 release 2.exe
     E-Book Archive2.rtf.exe
     Eminem blowjob.jpg.exe
     Eminem full album.mp3.exe
     Eminem Poster.jpg.exe
     Eminem sex xxx.jpg.exe
     Eminem Sexy archive.doc.exe
     Eminem Song text archive.doc.exe
     Eminem Spears porn.jpg.exe
     Eminem.mp3.exe
     Full album all.mp3.pif
     Gimp 1.8 Full with Key.exe
     Harry Potter 1-6 book.txt.exe
     Harry Potter 5.mpg.exe
     Harry Potter all e.book.doc.exe
     Harry Potter e book.doc.exe
     Harry Potter game.exe
     Harry Potter.doc.exe
     How to hack new.doc.exe
     Internet Explorer 9 setup.exe
     Kazaa Lite 4.0 new.exe
     Kazaa new.exe
     Keygen 4 all new.exe
     Learn Programming 2004.doc.exe
     Lightwave 9 Update.exe
     Magix Video Deluxe 5 beta.exe
     Matrix.mpg.exe
     Microsoft Office 2003 Crack best.exe
     Microsoft WinXP Crack full.exe
     MS Service Pack 6.exe
     netsky source code.scr
     Norton Antivirus 2005 beta.exe
     Opera 11.exe
     Partitionsmagic 10 beta.exe
     Porno Screensaver britney.scr
     RFC compilation.doc.exe
     Ringtones.doc.exe
     Ringtones.mp3.exe
     Saddam Hussein.jpg.exe
     Screensaver2.scr
     Serials edition.txt.exe
     Smashing the stack full.rtf.exe
     Star Office 9.exe
     Teen Porn 15.jpg.pif
     The Sims 4 beta.exe
     Ulead Keygen 2004.exe
     Visual Studio Net Crack all.exe
     Win Longhorn re.exe
     WinAmp 13 full.exe
     Windows 2000 Sourcecode.doc.exe
     Windows 2003 crack.exe
     Windows XP crack.exe
     WinXP eBook newest.doc.exe
     XXX hardcore pics.jpg.exe