TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年4月20日(米国時間)に発見されました「W32.Netsky.Y@mm」に関しまして、2004年4月20日株式会社シマンテックは報告件数が増加したため、Symantec Security Responseを、この脅威の危険度を2から3に引き上げた情報更新をおこなっております。
このウイルスの危険性の評価が高く引き上げられましたので、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Netsky.Y@mm」は、「Netsky」の亜種で、大量メール送信/特定Webサイト攻撃型のワームです。感染すると、コンピュータに接続されているドライブ(CD-ROMドライブを除く)からメールアドレスを探し出し、発見したメールアドレスへ独自のメール送信機能を使用して自分自身を添付したメールを送信し感染の拡大を試みます。また、このワームはコンピュータの日付が2004年4月28日から2004年4月30日の間、特定のWebサイトに対して攻撃を試みます。
 
電子メールの件名、本文および添付ファイル名は不定で、差出人は詐称されています。
件名と添付ファイル名には次のような特徴があります。
 
件名:Delivery failure notice (ID-<ランダムな数字>)
添付ファイル名:www.<ランダムなドメイン名>.<ランダムなユーザ名>.session-<ランダムな数字>.com

現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Netsky」
3. 別名:
W32/Netsky.y@MM [McAfee], WORM_NETSKY.Y [Trend],
Win32.Netsky.Y [Computer Associates], W32/Netsky-X [Sophos]
4. 差出人:<詐称されています>
5. 件名:以下のような特徴があります。
件名: Delivery failure notice (ID-<ランダムな数字>)
6. 本文:以下のような特徴があります。
本文: --- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.<ランダム>
Exim Status OK.
<ランダムな単語> message is available.
<ランダムな単語>には、次のいずれかが入ります。
 ・New
 ・Partial
 ・External
 ・Delivered
7. 添付ファイル名:以下のような特徴があります。
添付ファイル名: www.<ランダムなドメイン名>.<ランダムなユーザー名>.session-<ランダムな数字>.com
8. 感染すると、ワームは自分自身を%Windir%\FirewallSvr.exeとしてコピーします。
* %Windir%は可変です。このワームはインストールフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows(Windows XP)です。
9. 感染すると以下のファイルがWindowsのインストールフォルダ内に作成されます。
fuck_you_bagle.txt
10. 起動時に必ず「W32.Netsky.Y@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
* 値 : "FirewallSvr"="%Windir%\FirewallSvr.exe"
  場所 : 上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run\

対処方法
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック

(c)Copyright 2004 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.