米Network Associatesが「W32/Netsky.c@MM」を警告，危険度は「中」

2004.02.27

　米Network Associatesのウイルス対策技術研究機関であるMcAfee AVERT（Anti-Virus Emergency Response Team）は，最近見つかったNetskyワームの亜種「W32/Netsky.c@MM（Netsky.c）」の危険度評価を「中」とした。Network Associates社が米国時間2月25日に明らかにしたもの。

　Netsky.cは，感染したコンピュータ上で見つけた電子メール・アドレスに自分の複製を添付してランダムに選んだファイル名で送信して広がる。CドライブからZドライブ上で「share」または「sharing」という単語を含む共有フォルダに自身を複製するため，KaZaa，Bearshare，LimewireといったP2Pネットワークを介して感染する可能性もある。

　また，この新しいワームは，システム上で検出したW32/Mydoom.a@MM，W32/Mydoom.b@MM，W32/Netsky.a@MM，W32/Netsky.b@MMウイルスを非活性化させる。

　Netsky.cは，実行されるとWINDOWディレクトリに「WINLOGON.EXE」のファイル名で自身を複製する。そして，レジストリにHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"ICQ Net" =%WinDir%\WINLOGON.EXE -stealth'を追加するため，システムを起動するたびにファイルが実行される。

　McAfee AVERTの研究者は，同日このワームを初めて見て以来，現時点までに顧客からのサンプル提供とウイルスに感染したメールを合わせて1時間におよそ60のワームを受信しているという。同日だけで合計100近いサンプルが世界の顧客から送られている。

　米Central Commandによれば，添付ファイルの拡張子には，「.msg」，「.oft」，「.sht」，「.dbx」，「.tbb」「.adb」「.doc」，「.wab」，「.asp」，「.uin」，「.rtf」，「.vbs」，「.html」，「.htm」，「.pl」，「.php」，「.txt」，「.eml」が使われる。

　また，ワームが添付されるメールは，次の件名で送付される。

・believe me
・illegal...
・Question
・Fwd: lol
・your job? (I found that!)
・Re; hey
・Status
・lol
・something for you
・your name is wrong
・private?
・is that your TAN?
・info
・doc?
・your personal record?
・Re: doing it?
・personal message!
・Report

　また，スペインのPanda Softwareによれば，同ワームに感染したコンピュータは2月26日の午前6時から8時59分までにスピーカーから音を発するようにプログラムされているという。