ウイルス情報

ウイルス名 危険度

W32/Netsky.ac@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4358
対応定義ファイル
(現在必要とされるバージョン)
4365 (現在7709)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/05/06
発見日(米国日付) 04/05/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Netsky.ac@MMはW32/Netskyの新しい亜種です。特徴は以下のとおりです。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • 電子メールに拡張子がCPLのファイルが添付されています。
  • メッセージの差出人のアドレスを偽装します。
電子メールを介した繁殖

・W32/Netsky.ac@MMは、ターゲットマシンの以下の拡張子を持つファイルから電子メールアドレスを収集します。
  • .ppt
  • .nch
  • .mmf
  • .mht
  • .xml
  • .wsh
  • .jsp
  • .xls
  • .stm
  • .ods
  • .msg
  • .oft
  • .sht
  • .html
  • .htm
  • .pl
  • .dbx
  • .tbb
  • .adb
  • .dhtm
  • .cgi
  • .shtm
  • .uin
  • .rtf
  • .vbs
  • .doc
  • .wab
  • .asp
  • .mdx
  • .mbx
  • .cfg
  • .php
  • .txt
  • .eml
・メッセージは、ウイルス自身のSMTPエンジンを使用して作成されます。特徴は以下のとおりです。

添付ファイル:(以下のCPLファイルのいずれかを選択)

・Fix_MSBlast.B_(%ランダムな桁数% ) .cpl
・Fix_Mydoom.F_(%ランダムな桁数% ) .cpl
・Fix_Bagle.AB_(%ランダムな桁数% ) .cpl
・Fix_Sasser.B_(%ランダムな桁数% ) .cpl
・Fix_NetSky.AB_(%ランダムな桁数% ) .cpl

差出人:偽装(以下のいずれかのアドレスを使用)
  • support@sophos.com
  • support@norman.com
  • support@nai.com
  • support@symantec.com
件名:
  • Escalation
本文:

Dear user of , %Domain Name %

We have received several abuses:

- Hundreds of infected e-Mails have been sent
from your mail account by the new Bagle.AB worm
- Spam email has been relayed by the backdoor
that the virus has created

The malicious file uses your mail account to distribute
itself. The backdoor that the worm opens allows remote attackers
to gain the control of your computer. This new worm
is spreading rapidly around the world now
and it is a serios new threat that hits users.

Due to this, we are providing you to remove the
infection on your computer and to
stop the spreading of the malware with a
special desinfection tool attached to this mail.

If you have problems with the virus removal file,
please contact our support team at %From Address %
Note that we do not accept html email messages.

%Research Team %
添付ファイル:(上記のいずれかのCPLファイル)

ただし、
・%Domain Name% = 上記のファイルから収集した電子メールアドレスのドメイン名
・%From Address% = [差出人]フィールドの電子メールアドレス
・%Research Team% = 以下のいずれかの研究チーム

  • Sophos AntiVirus Research Team
  • Norman AntiVirus Research Team
  • MCAfee AntiVirus Research Team
  • Norton AntiVirus Research Team
・W32/Netsky.ac@MMには2つのコンポーネントが組み込まれています。
  • CPLファイル - ドロッパコンポーネント - (36,864バイト)
  • EXEファイル - 実際のワーム - (18,432バイト)
・ドロッパコンポーネントはCOMP.CPLとしてターゲットマシンにコピーされます。
  • %WinDir%\COMP.CPL
・ワームコンポーネントはWSERVER.EXEとしてターゲットマシンにコピーされます。
  • %WinDir%\WSERVER.EXE

  • (%WinDir% = c:\windows or c:\winntなどのWindowsディレクトリ)

・以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "wserver" = %WinDir%\wserver.exe
・ただし、以下の文字列を含むアドレスには自身を送信しません。
  • iruslis
  • antivir
  • sophos
  • freeav
  • andasoftwa
  • skynet
  • messagelabs
  • abuse
  • fbi
  • orton
  • f-pro
  • aspersky
  • cafee
  • orman
  • itdefender
  • f-secur
  • avp
  • spam
  • ymantec
  • antivi
  • icrosoft

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のハードコード化されたIPアドレスのいずれかにDNSクエリが送信されます。
  • 212.44.160.8
  • 195.185.185.195
  • 151.189.13.35
  • 213.191.74.19
  • 193.189.244.205
  • 145.253.2.171
  • 193.141.40.42
  • 193.193.144.12
  • 217.5.97.137
  • 195.20.224.234
  • 194.25.2.130
  • 194.25.2.129
  • 212.185.252.136
  • 212.185.253.70
  • 212.185.252.73
  • 62.155.255.16
  • 194.25.2.134
  • 194.25.2.133
  • 194.25.2.132
  • 194.25.2.131
  • 193.193.158.10
  • 212.7.128.165
  • 212.7.128.162
・上記のファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Netsky.ac@MMは自身のSMTPエンジンを使用してメッセージを作成し、電子メールを介して繁殖します。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る