米Network Associatesは米国時間3月22日,電子メールを大量送信するNetskyワームの新たな亜種「W32/Netsky.p@MM(Netsky.P)」の危険度評価を「中」に引き上げる警告を発した。ちなみに同社ウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)は,Netsky.Pより前に出現したNetskyワームのうち3種類に「中」の危険度評価を与えている。
Netsky.Pは,感染したマシンから電子メール・アドレスを取得し,自身の複製を「.ZIP」形式のファイルで送りつける。添付ファイル名には,ワーム自身に含まれる文字列を利用する。また,DNSサーバを検索してMXレコードを取得し,ターゲットとなるドメインのMTA(Mail Transfer Agent)に直接接続してメッセージを送信する。
電子メールは以下のような内容で届く。
-------------------------------------------------------------
発信者:(感染したマシンから抽出した電子メール・アドレス)
件名:
・ Stolen document
・ Re:Hello
・ Mail Delivery (failure sender address)
・ Private document
・ Re:Notify
・ Re:document
・ Re:Extended Mail System
・ Re:Proctected Mail System
・ Re:Question
・ Private document
・ Postcard
本文:
・ I found this document about you.
・ I have attached it to this mail.
・ Waiting for authentification.
・ Please confirm!
・ Protected message is available
・ Do not visit this illegal websites!
・ Here is my phone number.
・ I cannot believe that.
・ Your file is attached.
・ For further details see that attachment.
・ Congratulations!, your best friend.
・ Greetings from france, your friend.
・ If the message will not displayed automatically, follow the link to read the delivered message.
Received message is available at:(偽のWWWリンク)
-------------------------------------------------------------
ワームは発症すると,ドライブC~Zのフォルダ内に自身の複製を作成する。米Microsoftが2001年に発表した「MS01-020」セキュリティ・ホールを悪用し,「Internet Explorer 5.01」または「同5.5(Service Pack 2未インストール)」を動作させているシステム上で電子メールの添付ファイルを自動実行させようとする。なお,同セキュリティ・ホールに関しては,Microsoft社が検出発表当時にパッチを配布済みである。
◎関連記事
■米Network Associatesなど,危険度「中」のワーム「W32/Netsky.d@MM」を警告
■米Network Associatesが「W32/Netsky.c@MM」を警告,危険度は「中」
■米Network Associatesが「W32/Netsky.b@MM」を警告,危険度は「中」
■々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■Mydoom.AおよびBの非活性化を試みる「Netsky.J」発生
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
■米Network Associates,Bagleワームの亜種「Bagle.N」を警告
■猛威を振るう「Mydoom」ウイルス,その“手口”を解説する
[発表資料へ]
