ウイルス情報

ネットスカイ・Z

( Worm.NetSky.Z )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

--

更新日：

2004年4月20日(火)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  使用される拡張子は「.com」です。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  
  件名:Delivery failure notice (ID-<ランダムな数字>)
  
  本文:
  --- Mail Part Delivered ---
  220 Welcome to
  Mail type: multipart/related
  --- text/html RFC 2504
  MX [Mail Exchanger] mx.mt2.kl.<ランダム>
  Exim Status OK.
  <ランダムな文字列> message is available.
  
  <ランダムな文字列>は、以下のいずれかになります。
  New
  Partial
  External
  Delivered
  
  添付ファイル:www.<ランダムなドメイン名>.<ランダムなユーザー名>.session-<ランダムな数字>.com
  
• レジストリの値を作成
  添付ファイルを実行すると、ワームがウィンドウズディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  
  以下に自分自身をコピーします。
  C:\WINDOWS\FirewallSvr.exe (Windows 98/Me/XP)
  C:\WINNT\FirewallSvr.exe (Windows 2000)
  
  同じ場所に以下が作成されます。
  %Windir%\fuck_you_bagle.txt
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "FirewallSvr"
  = %WinDir%\FirewallSvr.exe
  
  %WinDir%は、ウィンドウズディレクトリです。
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  .adb
  .asp
  .cfg
  .cgi
  .dbx
  .dhtm
  .doc
  .eml
  .htm
  .html
  .jsp
  .mbx
  .mdx
  .mht
  .mmf
  .msg
  .nch
  .ods
  .oft
  .php
  .pl
  .ppt
  .rtf
  .sht
  .shtm
  .stm
  .tbb
  .txt
  .uin
  .vbs
  .wsh
  .wab
  .xls
  .xml
  ※「hukanmikloiuo@yahoo.com」に対しても自分自身を送信します。
  
• DoS（サービス拒否）攻撃
  システムの日付が4月28日（水）から30日（金）の間の場合、このウイルスは、以下のwebサイトに対してDOS（サービス拒否）攻撃を開始します。
  www.educa.ch
  www.nedinfo.ufl.edu
  www.nibis.de
  
• 不正アクセスの許可
  このウイルスに感染すると、TCPポート82番が開かれ、不正なアクセスを許可してしまいます。