米CERT/CCや警察庁は2月19日,メールやファイル共有で感染を広げる新種ウイルス「Netsky.B(Moodown.B)」を警告した。メールに添付された,あるいは共有フォルダに置かれたNetsky.Bを実行すると,大量のウイルス・メールを送信させられたりする。アンチウイルス・ベンダー各社も警告している(関連記事)。実行形式ファイルであるNetsky.Bを実行しない限り感染しないので,少しでも不審なファイルは実行しないことが第一。ほとんどのウイルス対策ソフトは,最新のウイルス定義ファイル(パターンファイル)で対応済み。
シマンテックやトレンドマイクロなどの情報によると,Netsky.Bの挙動は次の通り。Netsky.Bが実行されると,まずは画面に「The file could not be opened!」というダイアログを表示して,ユーザーの目をあざむく。その裏でNetsky.Bが動き出す。Netsky.Bは自分自身を「SERVICES.EXE」というファイル名で,Windowsフォルダにコピーする。そして,パソコンを起動するとそのファイルが動き出すようにレジストリを書き換える。
次に,パソコン中のWindowsアドレス帳やHTMLファイルなどからメール・アドレスを収集し,そのアドレスすべてに自分のコピーを添付したメールを送信する。メールの送信元アドレスにも,収集したアドレスを用いる。つまり,送信元アドレスは偽装される。
Netsky.Bを添付したメールの件名は,「hello」「read it immediately」「something for you」「warning」「information」「stolen」「fake」「unknown」――のいずれかになる。メールの本文は,Netsky.Bが内部的に持つ候補(例えば,「anything ok?」「what does it mean?」「ok」など)の中からランダムに選択される。
添付ファイル(Netsky.B)の名前も複数の候補(例えば,「document」「msg」「doc」など)の中からランダムに選択される。ファイルの拡張子は「.exe」「.scr」「.com」「.pif」のいずれかになる。このとき,実際の拡張子の前に「.txt」「.rtf」「.doc」「.htm」のいずれかの文字列が加わる場合がある。つまり,「document.txt.exe」や「msg.rtf.com」といったファイル名が付けられる。これらのファイルがZIP形式で圧縮されて送られてくる場合もある(その際の拡張子は「.zip」になる)。
Netsky.Bは,感染パソコンのCドライブからZドライブまでを検索して,特定のフォルダに自分自身を別名でコピーする。具体的には,「Share」あるいは「Sharing」をフォルダ名に含むフォルダへコピーする。コピーするときのファイル名は,複数の候補(例えば,「serial.txt.exe」「photoshop 9 crack.exe」「cool screensaver.scr」など)の中からランダムに選択される。これは,ファイル交換ソフト「KaZaA」を使って感染を広げるためだ。感染したパソコンでKaZaAが動作している場合には,例えば「serial」という文字列を含むファイルを検索している別のKaZaAユーザーのパソコンに,Netsky.Bが自動的にコピーされることになる。
KaZaAを使っていない場合にも注意が必要だ。別のパソコンの共有フォルダをドライブに割り当てていて,その共有フォルダの下に「Share」や「Sharing」を含むフォルダがある場合には,そのフォルダにもNetsky.Bがコピーされる。コピーされたNetsky.Bが実行されれば,そのパソコンにも感染が広がる。
加えてNetsky.Bは,「Mydoom」や「MyDoom.B」によって作成されたレジストリを削除する。つまり,Netsky.Bに感染したパソコンが,既にMydoomやMyDoom.Bに感染している場合には,それらが起動されないようにする。
メールで感染を広げるウイルスは後を絶たない。Netsky.Bは,1月末から2月初旬に猛威を振るったMydoomや先日出現した「Bagle.B」と同様に,ユーザーが添付ファイルを実行しなければ感染しない。にもかかわらず,感染は広がっている。ユーザーとして,とにかく安易に添付ファイルを開かないことが重要である。
もちろん,「ウイルス対策ソフトを適切に使う」「セキュリティ・ホールをふさぐ」ことも不可欠である。
◎参考資料
◆CERT Incident Note IN-2004-02「W32/Netsky.B Virus」(米CERT/CC)
◆CERT/CC Current Activity「W32/Netsky.B」(米CERT/CC)
◆Netsky.B(Moodown.B)ウイルスの発生について(2/19)(警察庁)
◆W32.Netsky.B@mm(シマンテック)
◆WORM_NETSKY.B(トレンドマイクロ)
(勝村 幸博=IT Pro)
