WORM_NETSKY.D
概 要
対応方法
詳 細
感染状況

ウイルスサイズ: 17,424 Bytes

発見日: 2004/03/01

変種・亜種: WORM_NETSKY.C

詳 細:
 実行されると、このワームはシステムのプロセスに常駐し、<Windowsフォルダ>に"WINLOGON.EXE"を作成します。

 この作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
ICQ Net = "<Windowsフォルダ>\winlogon.exe -stealth"

註:WindowsフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、

 Windows9x/Me/XPの場合、
  Windowsフォルダ= C:\Windows
 WindowsNT/2000の場合、
  Windowsフォルダ= C:\WinNT

 です。
註:<Windowsフォルダ>\<Windowsシステムフォルダ>の中には、Windowsが使用する不正ではない"WINLOGON.EXE"が存在します。

・ワーム活動
 このワームは自身のコピーを添付したメールを送信するワーム活動を行います。メールの送信には自身の持つSMTPエンジンを使用します。

 ワームは以下の内容のメールを送信します。

件名:(以下のいずれを使用します)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

本文:(以下のいずれかが使用されます)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

添付ファイル名:(以下のいずれかが使用されます)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif

 以下はワームが送信するメールのサンプル例です。

This box displays a sample screenshot of the email.

 ワームはC:~Z:までのドライブ(CD-ROMドライブを除く)に存在する以下の拡張子のファイルからメールアドレスを収集します:

  • DHTM
  • CGI
  • SHTM
  • MSG
  • OFT
  • SHT
  • BDX
  • TBB
  • ADB
  • DOC
  • WAB
  • ASP
  • UIN
  • RTF
  • VBS
  • HTM
  • HTML
  • PL
  • PHP
  • TXT
  • EML
 ただし、以下の文字列を含むアドレスは無視します:
  • skynet
  • messagelabs
  • abuse
  • orton
  • f-pro
  • aspersky
  • cafee
  • orman
  • itdefender
  • f-secur
  • ymantec
  • antivi
  • icrosoft
 ワームは収集したアドレスすべてにワームメールを送信します。また、収集したアドレスは送信者詐称にも利用します。

 ワームはDNSクエリーでMXレコードを取得することによって電子メール送信に必要なメールサーバの情報を調べます。ワームは取得したメールアドレスのドメインについてローカルのDNSサーバに問い合わせを行ないます。メールサーバーの情報が取得できなかった場合、以下の外部のDNSサーバーにクエリー問い合わせを行なっていきます:

  • 212.44.160.8
  • 195.185.185.195
  • 151.189.13.35
  • 213.191.74.19
  • 193.189.244.205
  • 145.253.2.171
  • 193.141.40.42
  • 194.25.2.134
  • 194.25.2.133
  • 194.25.2.132
  • 194.25.2.131
  • 193.193.158.10
  • 212.7.128.165
  • 212.7.128.162
  • 193.193.144.12
  • 217.5.97.137
  • 195.20.224.234
  • 194.25.2.130
  • 194.25.2.129
  • 212.185.252.136
  • 212.185.253.70
  • 212.185.252.73
  • 62.155.255.16
 ワームは取得できたMXレコードのメールサーバ情報をワームメール送信に使用します。

・レジストリの削除
 このワームは他の不正プログラムが作成、変更した以下のレジストリ値を削除します。

WORM_MYDOOM.A

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Taskmon

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
Taskmon

WORM_MYDOOM.B

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Explorer

場所:
HKEY_ CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run
値:
Explorer

WORM_MYDOOM.A および WORM_MYDOOM.B

場所:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
値:
InProcServer32

WORM_MIMAIL.T

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
KasperskyAv

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
KasperskyAv

WORM_NETSKY.A または WORM_NETSKY.B

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
service

以下のレジストリ値も削除します。これらもまた他の不正プログラムによって作成されたものと思われます。

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
system

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices
値:
System

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
msgsvr32

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
DELETE ME

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
d3dupdate.exe

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
au.exe

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
OLE

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Sentry

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
値:
PINF

場所:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
値:
WksPatch

場所:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:
Windows Services Host

場所:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値:
Windows Services Host

・発病
 このワームはシステム時計が2004年3月2日の午前6:00~8:00の間に実行された場合発病し、ビープ音を鳴らします。

・その他の情報
 また不正コード内に以下の文字列が含まれています。

be aware! Skynet.cz - -->AntiHacker Crew<--

 このワームはPetite圧縮されており、Microsoft C++で作成されています。


このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況

ウイルスデータベース検索

このウイルス情報に関して. こちらのアンケートにお答えください。