警察庁US-CERTは3月2日,メールで感染を広げる新種ウイルス「Netsky.D」を警告した(関連記事)。拡張子が「.pif」(ファイル名はランダム)のNetsky.Dを実行すると,Netsky.Dを添付したメールを大量に送信させられる。

 現在では,ほとんどのアンチウイルス・ベンダーは対応済み。最新のウイルス定義ファイルを使っていれば,ウイルス対策ソフトで検知できる。しかしながら,各ベンダーが対応する前に,Netsky.Dは急速に感染を広げた。このため,ゲートウエイ型対策ソフトを使っている企業でも,Netsky.Dを添付したメールが検知されずにユーザーに届いている可能性がある。十分注意したい。

 Netsky.Dは,2004年2月に出現した「Netsky.B」と同じくNetskyウイルスの変種の一つ(関連記事)。基本的な挙動はNetsky.Bとほとんど同じである。メールに添付されたNetsky.Dが実行されると,パソコン中の全ドライブを検索して,Windowsアドレス帳(.wab)やHTMLファイルなどからメール・アドレスを収集する。そしてすべてのアドレスあてに,Netsky.Dを添付したメールを送信する。収集したアドレスは送信元(From)にも使う。つまり,送信元アドレスは偽装されているので,そのアドレスあてに苦情を言っても無駄である。

 Netsky.Dを添付したメールの件名は,Netsky.Dが内部的に持つ候補の中からランダムに選択される。例えば,「Re: Your softwar」や「Re: Approved」などとなる。いずれの件名も「Re:」から始まる。本文も同様に,「Your file is attached.」「Please read the attached file.」「Please have a look at the attached file.」「See the attached file for details.」「Here is the file.」「Your document is attached.」――の中からランダムに選択される。添付ファイル名も,いくつかの候補の中からランダムに選択される。ただし,拡張子は必ず「.pif」になる。

 加えて,パソコン(システム)の時刻が,2004年3月の毎週火曜日午前6時から8時の間,ビープ音が鳴り続ける(3月2日のみビープ音が鳴るという情報もある)。さらに,「Mydoom」などの過去に出現したウイルスが作成したレジストリ・キーを削除する。

 .pifは「Program Information File」の略で,MS-DOSアプリケーションへのショートカット・ファイルに付けられる拡張子である。ただし,実行形式ファイル(.exe)の拡張子を.pifに変更しても,実行形式ファイルは問題なく実行できる。このため,実行形式ファイルでありながら,拡張子を.pifにしてユーザーを油断させるウイルスは多い。.pifファイルがメールで送られてきたら,たとえウイルス対策ソフトが警告を出さなくても,まずウイルスだと考えて間違いない。

◎参考資料
「W32/Netsky.D」(US-CERT)
「Netsky.Dウイルスの発生について(3/2)」(警察庁)
「W32.Netsky.D@mm」(シマンテック)
「WORM_NETSKY.D」(トレンドマイクロ)

(勝村 幸博=IT Pro)