ウイルス情報

ネットスカイ・C

( Worm.NetSky.c )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

--

更新日：

2004年2月25日(水)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、知らないうちにウイルスを添付したメールを無断送信します。これらはメールソフトで送るわけではないので、自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
  また、"shar"という言葉を含むフォルダを、ドライブ C から Z まで探し出し、自分自身をコピーします。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は「.ZIP、.EXE」です。
  また、解凍した添付ファイルは".rtf.pif"のように拡張子を2つ持つ場合があります。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンから探し出した、eメールアドレスで詐称されています。
  
  件名:以下のいずれかの可能性があります。
  　Re: information
  　Here is it
  　stolen
  　private?
  　good morning
  　illegal...
  　error
  　take it
  　re:
  　Re: Re: Re: Re:
  　you?
  　something for you
  　exception
  　Re: hey
  　excuse me
  　Re: hi
  　Re: does it?
  　Delivery Failed
  　Status
  　report
  　question
  　trust me
  　hey
  　Re: excuse me
  　read it immediatelly
  　hi
  　Re: does it?
  　Yep
  　important
  　hello
  　dear
  　Re: unknown
  　fake?
  　warning
  　moin
  　what's up?
  　info
  　Re: important
  　Re: hello
  　believe me
  　Question
  　denied!
  　notification
  　Re: <5664ddff?$???2>
  　lol
  　last chance!
  　I'm back!
  　its me
  　notice!
  
  本文:以下のいずれかの可能性があります。
  　<Deliver Error>
  　<Message Error>
  　<Server Error>
  　what means that?
  　help attached
  　<...>
  　ok...
  　<Attachment from Poland>
  　that is interesting...
  　i wait for your comment about it.
  　such as yours?
  　read the details.
  　gonna?
  　here is the document.
  　*lol*
  　read it immediately!
  　i found that about you!
  　your hero in the picture?
  　yours?
  　here is it.
  　illegal st. of you?
  　is that true?
  　account?
  　is that your name?
  　picture?
  　message?
  　is that your account?
  　pwd?
  　I wait for an answer!
  　abuse?
  　is that yours?
  　you are a bad writer
  　I don't know your document!
  　<Mail failed>
  　I have your password!
  　you won the rk!
  　something about you!
  　classroom test of you?
  　kill the writer of this document!
  　old photos about you?
  　i hope thats not true!
  　your name is wrong!
  　does it match?
  　i found this document about you.
  　time to fear?
  　really?
  　do you know this????
  　i know your document!
  　did you sent it to me?
  　this file is bad!
  　why should I?
  　pages?
  　her.
  　another pic, have fun! ... :->
  　test it
  　child porn?
  　greetings
  　xxx ?
  　stuff about you?
  　your document is not good
  　something is going wrong!
  　your photo is poor
  　information about you?
  　the information is wrong!
  　doc about me?
  　kill him on the picture!
  　from the chatter (my photo!)
  　from your lover ;-)
  　love letter?
  　here, the serials
  　are you a teacherin the picture?
  　here, the introduction
  　is that criminal?
  　here, the cheats
  　i like your doc!
  　what do you think about it?
  　that's a funny text.
  　that's not the truth?
  　do you have?
  　instruct me about this!
  　i lost that
  　i am speachless about your document!
  　is that the reality?
  　reply
  　msg
  　your design is not good!
  　important?
  　your TAN number?
  　take it easy!
  　why?
  　you are naked in this document!
  　thats wrong!
  　your icq number?
  　i am desperate
  　modifications?
  　your personal record?
  　yes.
  　is that your finger?
  　your are naked?
  　is that your porn pic?
  　is that your work?
  　is that your family?
  　is that your beast?
  　is that your account?
  　cture?
  　you have a sexy body in the pic!
  　your lie is going around the world!
  　<Transfer complete>
  　<Antispam complete>
  　lets talk about it!
  　do you know the thief?
  　are you a photographer?
  　you have done a mistake in the document...
  　its private from me
  　do not show this anyone!
  　new patch is available!
  　this is an attachment message!
  　in your mind?
  　Microsoft
  　do not open the attachment!
  　do not visit the pages on the list I se...
  　explain!
  　tell me more about your document!
  　Your provider will be disabled!
  　Instant patches.
  
  添付ファイル:ファイル名は以下の可能性があります。拡張子はZIPまたはEXEです。
  　number_phone
  　object
  　old_photos
  　part2
  　party
  　paypal
  　pic
  　attachment
  　portmoney
  　posting
  　poster
  　privacy
  　id
  　product
  　class_photos
  　ps
  　ranking
  　regards
  　website
  　more
  　regid
  　release
  　response
  　454543403
  　aboutyou
  　associal
  　attach2
  　auction
  　transfer
  　bill
  　birth
  　card
  　concert
  　moonlight
  　death
  　details
  　description
  　creditcard
  　dinner
  　disco
  　doc
  　yours
  　doc_ang
  　jokes
  　document
  　final
  　found
  　freaky
  　image
  　incest
  　information
  　sexy
  　injection
  　intimate stuff
  　letter
  　location
  　mail2
  　mails
  　masturbation
  　material
  　me
  　message
  　talk
  　msg2
  　music
  　myaunt
  　mydate
  　naked1
  　naked2
  　news
  　nomoney
  　note
  　nothing
  　misc
  　schock
  　secrets
  　sexual
  　shower
  　story
  　stuff
  　swimmingpool
  　tear
  　textfile
  　topseller
  　trash
  　undefinied
  　unfolds
  　friend
  　update
  　violence
  　visa
  　warez
  　webcam
  　wife
  　word_doc
  　worker
  　your_stuff
  
  　解凍した後の拡張子は、以下の可能性があります。".doc.pif"のように拡張子が2つある場合もあります。
  　.doc
  　.htm
  　.rtf
  　.text
  　.com
  　.exe
  　.pif
  　.scr
  
• レジストリの値を作成
  添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  　以下に自分自身をコピーします。
  　C:?WINDOWS?Winlogon.exe(Windows 95/98/Me/XP)
  　C:?WINNT?Winlogon.exe(Windows 2000)
  　以下のレジストリの値を作成します。
  　HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
  　"ICQ Net" = C:?WINDOWS?WINLOGON.EXE -stealth
  　以下の値をレジストリキーから削除します。
  　"Sentry"
  　"OLE"
  　"service"
  　"au.exe"
  　"d3dupdate.exe"
  　"DELETE ME"
  　"msgsvr32"
  　"Taskmon"
  　"Explorer"
  　"Windows Services Host"
  　HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
  　HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows?CurrentVersion?RunServices
  　"KasperskyAV"
  　"System."
  　HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
  　以下のレジストリキーを削除します。
  　HKEY_CLASSES_ROOT?CLSID?{E6FB5E20-DE35-11CF-9C87-00AA005127ED}?InProcServer32
  
• 大量メール送信
  このウイルスは、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのeメールアドレスを抜き取ります。
  　.adb.asp
  　.cgi
  　.dbx
  　.dhtm
  　.doc
  　.eml
  　.htm
  　.oft
  　.php
  　.pl
  　.rtf
  　.sht
  　.shtm
  　.msg
  　.tbb
  　.txt
  　.uin
  　.vbs
  　.wab
  
  以下の文字列を含むeメールアドレスには送信しません。
  　abuse
  　fbi
  　orton
  　f-pro
  　aspersky
  　cafee
  　orman
  　itdefender
  　f-secur
  　avp
  　spam
  　ymantec
  　antivi
  　icrosoft
  
• 自分自身をコピー
  "shar"という言葉を含むフォルダを、ドライブ C から Z まで探し出し、自分自身をコピーします。ファイルは以下の可能性があります。
  　Microsoft WinXP Crack.exe
  　Teen Porn 16.jpg.pif
  　Adobe Premiere 9.exe
  　Adobe Photoshop 9 full.exe
  　Best Matrix Screensaver.scr
  　Porno Screensaver.scr
  　Dark Angels.pif
  　XXX hardcore pic.jpg.exe
  　Microsoft Office 2003 Crack.exe
  　Serials.txt.exe
  　Screensaver.scr
  　Full album.mp3.pif
  　Ahead Nero 7.exe
  　Virii Sourcecode.scr
  　E-Book Archive.rtf.exe
  　Doom 3 Beta.exe
  　How to hack.doc.exe
  　Learn Programming.doc.exe
  　WinXP eBook.doc.exe
  　Win Longhorn Beta.exe
  　Dictionary English - France.doc.exe
  　RFC Basics Full Edition.doc.exe
  　1000 Sex and more.rtf.exe
  　3D Studio Max 3dsmax.exe
  　Keygen 4 all appz.exe
  　Windows Sourcecode.doc.exe
  　Norton Antivirus 2004.exe
  　Gimp 1.5 Full with Key.exe
  　Partitionsmagic 9.0.exe
  　Star Office 8.exe
  　Magix Video Deluxe 4.exe
  　Clone DVD 5.exe
  　MS Service Pack 5.exe
  　ACDSee 9.exe
  　Visual Studio Net Crack.exe
  　Cracks & Warez Archive.exe
  　WinAmp 12 full.exe
  　DivX 7.0 final.exe
  　Opera.exe
  　IE58.1 full setup.exe
  　Smashing the stack.rtf.exe
  　Ulead Keygen.exe
  　Lightwave SE Update.exe
  　The Sims 3 crack.exe