ウイルス情報

かかりやすさ:中

( Worm.NetSky.r )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年3月28日(日)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信します。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.pif、.eml、.scr、.zip」のいずれかです。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • このウイルスは、修正プログラムを適用していない人が、メールを閲覧またはプレビューするだけで添付ファイルが自動的に実行されてしまう、「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する(MS01-020)」という脆弱性を利用しています。

    ・ 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
    件名:以下のいずれかの可能性があります。
     Delivery Bot [受信者のメールアドレス]
     Server Error [受信者のメールアドレス]
     Deliver Mail [受信者のメールアドレス]
     Delivery Failed [受信者のメールアドレス]
     Unknown Exception [受信者のメールアドレス]
     Failed [受信者のメールアドレス]
     Failure [受信者のメールアドレス]
     Status [受信者のメールアドレス]
     Error [受信者のメールアドレス]
     Delivered Message [受信者のメールアドレス]
     Mail System [受信者のメールアドレス]
     Mail Delivery System [受信者のメールアドレス]
     Mail Delivery failure [受信者のメールアドレス]
     Delivery [受信者のメールアドレス]
     Delivery Failure [受信者のメールアドレス]
     Delivery Error [受信者のメールアドレス]

    本文:以下のいずれかの可能性があります。
     Received message has been sent as a binary file.
     Modified message has been sent as a binary attachment.
     Received message has been sent as an encoded attachment.
     Translated message has been attached.
     Message has been sent as a binary attachment.
     Received message has been attached.
     Partial message is available and has been sent as a binary attachment.
     The message has been sent as a binary attachment.
     Delivery Agent - Translation failed
     Delivery Failure - Invalid mail specification
     Mail Delivery Failure - This mail couldn't be shown
     Mail Delivery System - This mail contains binary characters
     Mail Transaction Failed - This mail couldn't be converted
     Mail Delivery Error - This mail contains unicode characters
     Mail Delivery Failed - This mail couldn't be represented
     Mail Delivery - This mail couldn't be displayed

    添付ファイル:[ランダムなファイル名][ランダムな数字][ランダムな拡張子]で構成されます。
    [ランダムなファイル名]は、以下の可能性があります。
     data
     mail
     msg
     message
     Note

    [ランダムな数字]は、ランダムな数字で、ランダムな桁数になります。

    [ランダムな拡張子]は、以下の可能性があります。
     .pif
     .eml
     .scr
     .zip

    ・ レジストリの値を作成
    添付ファイルを実行すると、ワームがウィンドウズディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
     C:\WINDOWS\SysMonXP.exe (Windows 98/Me/XP)
     C:\WINNT\SysMonXP.exe (Windows 2000)

    同じ場所に以下のファイルが展開されます。
     base64.tmp
     firewalllogger.txt
     zipo0.txt
     zipo1.txt
     zipo2.txt
     zipo3.txt
     zippedbase64.tmp
     sysmonxp.exe

    レジストリの値を作成します。
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "SysMonXP"
     = Data: %WinDir%\SysMonXP.exe

     %WinDir%は、ウィンドウズディレクトリです。

    ・ 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
     ppt
     xls
     stm
     ods
     nch
     mmf
     mht
     mdx
     mbx
     cfg
     xml
     wsh
     jsp
     html
     htm
     pl
     dbx
     tbb
     adb
     dhtm
     cgi
     shtm
     uin
     rtf
     vbs
     msg
     oft
     sht
     doc
     wab
     asp
     php
     txt
     eml

    しかし、以下の文字列を含むアドレスには送信しません。
     reports@
     spam@
     noreply@
     @viruslis
     ntivir
     @sophos
     @freeav
     @pandasof
     @skynet
     @messagel
     abuse@
     @fbi
     @norton
     @f-pro
     @kaspersky
     @mcafee
     @norman
     @bitdefender
     @f-secur
     @avp
     @spam
     @symantec
     @antivi
     @microsof