3月29日,メールで感染を広げる「Netsky」ウイルスの変種が国内で流行している。トレンドマイクロでは「Netsky.Q」としているこの変種は,現時点(3月29日16時)では,最新のウイルス定義ファイル(パターンファイル)を使っていても,ウイルス対策ソフトで検出できない場合がある。対策ソフトへの過信は禁物。怪しい添付ファイルは決して開かないように。
トレンドマイクロによると,現時点(3月29日16時)でユーザーからの問い合わせが9件あったという。同社では現在同ウイルスに関して解析中。パターンファイルは数時間以内に用意する予定で,解析が進み次第,同社サイトの情報も更新する。現時点(3月29日16時)では,同社の対策ソフトに限らず,複数ベンダーの対策ソフトで検出できない。
【3月29日追記】トレンドマイクロをはじめ,アンチウイルス・ベンダー各社は対応を進めている。各ベンダーが公開する情報や対応状況へのリンクは,情報処理推進機構セキュリティセンター(IPA/ISEC)のページにまとめられているので参考にしてほしい。 【以上,3月29日追記】
同ウイルスの特徴は,メールに文字化けしたような本文が書かれること(写真)。他のNetskyウイルス同様,ウイルスは「zip」や「exe」,「scr」,「pif」の拡張子を持つ添付ファイルとして送られてくる。送信先および送信元アドレスは偽装されているので,自分のアドレスが送信元に使われる場合もある。このため,実在するメール・サーバーからのエラー・メールとして,ウイルス添付メールが送られてくることがある。
【3月30日追記】アンチウイルス・ベンダー各社の情報によると,添付ファイルの拡張子は「pif」あるいは「zip」。zipファイルを展開すると,拡張子が「scr」のファイルが作成される。pifおよびscrのファイルが,ウイルス本体である。ただし,拡張子にかかわらず,怪しい添付ファイルは決してクリックしてはいけない。別のウイルスである可能性が高い。
【以上,3月30日追記】
また,先日出現した変種「Netsky.P」と同様に,Internet Explorer(IE)のセキュリティ・ホール「MS01-020」を突く“機能”がある(関連記事)。セキュリティ・ホールがあるIEを使っている環境では,メールの本文を開くだけで,添付されたNetsky.Pが動き出す恐れがある。ただし,このセキュリティ・ホールは,IE 5.0 SP2/IE 5.5 SP2およびIE 6では既にふさがれている。
とはいえ,たとえセキュリティ・ホールをきちんとふさいでいても,添付ファイルをダブルクリックすれば,ウイルスが動き出して感染する。たとえウイルス対策ソフトが警告を出さなくても,少しでも怪しいファイルは絶対にクリックしてはいけない。
現在,NetskyおよびBeagle(Bagle)ウイルスの変種が続々出現している(関連記事)。変種が出現した当初は,たとえ最新のウイルス定義ファイル(パターンファイル)を使っていても検出できない場合がある。対策ソフトを過信することなく,十分注意してほしい。
◎参考資料
◆「WORM_NETSKY.Q」(トレンドマイクロ)
◆「『W32/Netsky』ウイルスの亜種(Netsky.Q)に関する情報」(IPA/ISEC)
(勝村 幸博=IT Pro)
