ウイルス情報
かかりやすさ:中
ネットスカイ・T
( Worm.NetSky.t )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年4月5日(月)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.pif」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下のいずれかの可能性があります。
Hello!
Hi!
Re: Important
Important
Re: My details
My details
Re: Your information
Your information
Re: Your details
Your details
Re: Your document
Your document
Re: Request
Request
Re: Thanks you!
Thank you!
Re: Approved
Approved
Re: Hello
Re: Hi
Hello
Hi
本文:以下いずれかの組み合わせで作成されます。
以下のいずれかで始まります。
Note that I have attached your document.
My <添付ファイルのファイル名>s.
The <添付ファイルのファイル名>s.
I have spent much time for the <添付ファイルのファイル名>s.
I have spent much time for your document.
Your <添付ファイルのファイル名>s.
Please notice the attached <添付ファイルのファイル名>s.
Please notice the attached document.
Please read quickly.
For more details see the attached document.
For more information see the attached document.
Approed, here is the document.
I have found the <添付ファイルのファイル名>s.
My <添付ファイルのファイル名>s is attached.
Your <添付ファイルのファイル名>s is attached.
Please, <添付ファイルのファイル名>s.
Your file is attached to this mail.
Please read the attached document.
Please have a look at the attached document.
See the document for details.
Here is the document.
The requested <添付ファイルのファイル名>s is attached!
I have sent the <添付ファイルのファイル名>s.
Please see the <添付ファイルのファイル名>s.
The %s is attached.
Here is the <添付ファイルのファイル名>s.
Please have a look at the <添付ファイルのファイル名>s.
Please read the <添付ファイルのファイル名>s.
次に、以下のいずれかが続きます。
Yours sincerely
Thank you
Thanks
最後に、以下のいずれかが続きます。
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Panda OnlineAntiVirus
+++ Website: www.pandasoftware.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new MCAfee OnlineAntiVirus
+++ Homepage: www.mcafee.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new F-Secure OnlineAntiVirus
+++ Visit us: www.f-secure.com
+++ X-Attachment-Type: document
+++ X-Attachment-Status: no virus found
+++ Powered by the new Norton OnlineAntiVirus
+++ Free trial: www.norton.com
添付ファイル:ファイル名は、以下の文字列の最後にランダムな数字が付きます。使用される拡張子は「.pif」です。
account
postcard
sample
developement
concept
story
report
icq_number
e-mail
phone_number
personal_message
photo_document
order
important_document
diggest
final_version
release
answer
bill
notice
requested_document
description
summary
picture_document
movie_document
approved_document
old_document
document
mail
letter
homepage
detailed_document
powerpoint_document
excel_document
word_document
info
information
text
new_document
textfile
user_list
improved_file
secound_document
file
number_list
contact_list
message
note
improved_document
details
instructions
presentation_document
abuse_list
archive
corrected_document
list
approved_file
- レジストリの値を作成
添付ファイルを実行すると、ワームがウィンドウズディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
以下に自分自身をコピーします。
C:\WINDOWS\EasyAV.exe (Windows 98/Me/XP)
C:\WINNT\EasyAV.exe (Windows 2000)
同じ場所に以下が作成されます。
%WinDir%\UINMZERTINMDS.OPM
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run "EasyAV"
= %WinDir%\EasyAV.exe
%WinDir%は、ウィンドウズディレクトリです。
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.ppt
.rtf
.sht
.shtm
.stm
.tbb
.txt
.uin
.vbs
.wsh
.wab
.xls
.xml
- 拒否(DoS)攻撃
2004年4月13日(火)から、2004年4月23日(金)の場合、以下のサイトに拒否(DoS)攻撃を試みます。
www.cracks.am
www.emule.de
www.kazaa.com
www.freemule.net
www.keygen.us
- 不正アクセスの許可
このウイルスに感染すると、ポート6789番が開かれ、不正なアクセスを許可してしまいます。