スペインPanda Softwareは,「Netsky」ワームの新たな亜種「W32/Netsky.R.worm」に関する警告を現地時間3月31日に発表した。これまでのNetskyと同じように,電子メールの添付ファイルを介して感染を広げるが,今回のワームはPanda Software社の製品を装って「PandaAVEngine.exe」という名前のファイルをコンピュータ上に作成する。Netsky.Rの危険度は高くない。Panda Software社は「中」,米Symantecも危険度を「2」と評価している。
同ワームを含む電子メールは,以下のような内容で届く。
■電子メールの件名
Re: Document(ランダムの数字)
■電子メールの本文
Excuse me,
the important document is attached,
Yours sincerely
■添付ファイル名
Document(ランダムな数字).pif
添付ファイルが実行されると,アドレス帳を始めとして,次の拡張子を持つファイル内で見つけたすべての電子メール・アドレスにワームを送信する。
eml,.txt,php,asp,wab,doc,sht,oft,msg,vbs,
rtf,uin,shtm,cgi,dhtm,adb,tbb,dbx,pl,htm,
html,jsp,wsh,xml,cfg,mbx,mdx,mht,mmf,nch,
ods,stm,xls,.ppt
Netsky.Rは,Panda Software社の製品を装ってWindowsディレクトリ内に「PandaAVEngine.exe」という名前のファイルを作成する。同ファイルには,ワームの複製が含まれる。アンチウイルス製品が,このファイルを検出した場合には,他の悪意を持つファイルと同じように除去される。
同ファイルが実行されると,「temp09094283.dll」と「uinmzertinmds.opm」と呼ばれる2つのファイルがコンピュータ上に作成される。Netsky.Rは,4月12日から16日の間に,5つのWebサイト「www.emule.de」「www.cracks.am」「www.emule-project.net」「www.kazaa.com」「www.keygen.us」に対してDoS攻撃を仕掛けるように設計されている。
また,Netsky.Rは,Windowsレジストリ内にある別のワーム「Mydoom」「Bagle」「Mimail」の不活性化を試みる。
米メディアの報道(TechWeb)によると,Netsky.Rのコードには,「われわれは,『Bagle』が存在する限り,いくつでもSkynetの亜種をリリースする」という内容のメッセージが記述されていた。
◎関連記事
■「Netsky」ウイルスの変種が国内で流行,対策ソフトで検出できない場合も
■米Network Associates,Bagleワームの新たな亜種「Bagle.U」を警告
■「次々と亜種が登場,ワーム作成者どうしの勢力争いか?」,アンチウイルス・ベンダーが分析
■ Netskyウイルスの変種が流行中,拡張子が「.pif」の添付ファイルに注意
[発表資料へ]
