米Network Associatesなど，危険度「中」のワーム「W32／Netsky.d@MM」を警告

2004.03.02

　米Network Associatesのウイルス対策技術研究機関であるAnti-Virus Emergency Response Team（McAfee AVERT）が米国時間3月1日，大量の電子メールを送信するNetskyワームの亜種「W32／Netsky.d@MM」（または「Netsky.d」）について警告を発した。Network Associates社による危険度の評価は「中」。同社は同ワームの情報や対応策を，Webサイトで提供している。

　AVERTによると，Netsky.dは同日未明に発見されたばかりにもかかわらず，現時点ですでに約200件のサンプルを顧客から入手したほか，ワーム自身の送信した電子メールが世界各地から届いているという。

　Netsky.dは，自分の複製を拡張子「.PIF」のファイルとして電子メールに添付し，それを感染したパソコン上で見つけた電子メール・アドレスに送信して広がる。CドライブからZドライブ上のフォルダに複製を作成するほか，ワーム「W32／Mydoom.a@MM」および「W32／Mydoom.b@MM」を非活性化させる。

　Netsky.dは実行されるとWINDOWディレクトリに「WINLOGON.EXE」というファイル名で自身を複製し，レジストリにキー「"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"ICQNet" = %WinDir%\WINLOGON.EXE -stealth" 」を加える。こうすることで，システム起動時にWINLOGON.EXEを実行し，活動を継続させる。

　そのほかに，Netsky.dの祖先に当たり現在も危険度「中」の状態にある「W32／Netsky.b@MM」「W32／Netsky.c@MM」と同様の動作をするという。特にW32／Netsky.c@MMの亜種と同じく，予想外に大量のネットワーク・トラフィックや，PtoPネットワーク経由の通信を発生させる。さらに，ある特定の日時にパソコンのスピーカからランダムな音を鳴らすようプログラムしてある。

　Netsky.dは，送信する電子メールの「From（発信者）」行を，感染したパソコン上で見つけた電子メール・アドレスを使って偽装するので，発信元の特定は難しい。

　同ワームが添付される電子メールのそのほかの特徴は以下の通り。

【Subject（件名）】
・Re: Hello
・Re: Hi
・Re: Thanks!
・Re: Document
・Re: Message
・Re: Here
・Re: Details
・Re: Your details
・Re: Approved
・Re: Your document
・Re: Your text
・Re: Excel file
・Re: Word file
・Re: My details
・Re: Your music
・Re: Your bill
・Re: Your letter
・Re: Document
・Re: Your website
・Re: Your product
・Re: Your document
・Re: Your software
・Re: Your archive
・Re: Your picture
・Re: Here is the document

【本文】
・Here is the file.
・Your file is attached.
・Your document is attached.
・Please read the attached file.
・Please have a look at the attached file.
・See the attached file for details.

　またスペインのPanda Softwareと米Eset Softwareも同日，同ワームに関する情報などを発表した。Panda Software社によると，同ワームは2004年3月2日の午前6時から午前8時59分にかけて，パソコンでランダムな音を鳴らすという。同社は対策ツールをWWWサイトで無償提供している。