ウイルスサイズ: 28,008 Bytes

発見日: 2004/03/28

変種・亜種: WORM_NETSKY.P

詳　細:
　ワームのアイコンは以下のようなメールのアイコンを使用しています：

　実行すると以下のファイルをWindowsフォルダに作成します：

• FIREWALLLOGGER.TXT
• SYSMONXP.EXE　　　
• ZIPO0.TXT 　　　
• ZIPO1.TXT
• ZIPO2.TXT
• ZIPO3.TXT
• BASE64.TMP
• ZIPPEDBASE64.TMP

そして、Windows起動時にワームが自動実行されるように以下のレジストリを作成します。

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値　：SysMonXP = "C:\Windows\SysMonXP.exe"

ワーム活動：
　ワームはメールに自身のコピーを添付して任意の宛先に送信するマスメーリング型ワーム活動を行います。ワームは自身でSMTPの電子メール送信を行える機能を持っています。ワームの送信するメールの内容は以下の通りです：

件名：（以下のうちいずれか）

Deliver Mail ＜受信者のメールアドレス＞
Delivered Message ＜受信者のメールアドレス＞
Delivery ＜受信者のメールアドレス＞
Delivery Bot ＜受信者のメールアドレス＞
Delivery Error ＜受信者のメールアドレス＞
Delivery Failed ＜受信者のメールアドレス＞
Delivery Failure ＜受信者のメールアドレス＞
Error ＜受信者のメールアドレス＞
Failed ＜受信者のメールアドレス＞
Failure ＜受信者のメールアドレス＞
Mail Delivery failure ＜受信者のメールアドレス＞
Mail Delivery System ＜受信者のメールアドレス＞
Mail System ＜受信者のメールアドレス＞
Server Error ＜受信者のメールアドレス＞
Status ＜受信者のメールアドレス＞
Unknown Exception ＜受信者のメールアドレス＞

本文：

Message has been sent as a binary attachment.
Modified message has been sent as a binary attachment.
Note: Received message has been sent as a binary file.
Partial message is available and has been sent as a binary attachment.
Received message has been attached.
Received message has been sent as an encoded attachment.
The message has been sent as a binary attachment.
Translated message has been attached.

上記の文のいずれかが選択され使用されます。

------------- failed message -------------
＜無作為な文字列＞

また、以下の文のいずれかが選択されます。

Delivery Agent - Translation failed
Delivery Failure - Invalid mail specification
Mail Delivery - This mail couldn't be displayed
Mail Delivery Error - This mail contains unicode characters
Mail Delivery Failed - This mail couldn't be represented
Mail Delivery Failure - This mail couldn't be shown.
Mail Delivery System - This mail contains binary characters
Mail Transaction Failed - This mail couldn't be converted

※ワームメール本文例：
Mail Transaction Failed - This mail couldn't be converted

------------- failed message ------------- bsSio&tJkyIM&a*&u'nxiYD4.lpV*pT(5:giEP3>!n NuuBpä6gE30mC9VM|Y)zvz6*X#hü(4##kMT8o3lrsfMu+ WtUe+Xh5>SIRuW*;POI*S5U'9pFT+WvHß<6crzQKHo%öP8 M6LF:&y7O49yW4,>PMWfmcJ93XäB-RBf-jC7

The message has been sent as a binary attachment.

添付ファイル名：
data ＜ランダムな数字＞
data ＜ランダムな数字＞
mail ＜ランダムな数字＞
message
message ＜ランダムな数字＞
msg ＜ランダムな数字＞

　ワームはメール送信のためにメールアドレスを収集します。メールアドレスを収集のためにCD-ROMドライブを除くC:ドライブ～Z:ドライブ内の以下の拡張子のファイルをすべて検索します：

• ADB
• ASP
• CFG
• CGI
• DBX
• DHTM
• DOC
• EML
• HTM
• HTML
• JSP
• MMF
• MSG
• OFT
• PHP
• PL
• PPT
• RTF
• SHT
• SHTM
• TBB
• TXT
• UIN
• VBS
• WAB
• WSH
• XLS
• XML

• @antivi
• @avp
• @bitdefender
• @fbi
• @f-pro
• @freeav
• @f-secur
• @kaspersky
• @mcafee
• @messagel
• @microsof
• @norman
• @norton
• @pandasof
• @skynet
• @sophos
• @spam
• @symantec
• @viruslis
• abuse@
• noreply@
• ntivir
• reports@
• spam@

　ワームはメール送信に必要なメールサーバの情報を以下の方法で取得します：

１）Windowsのシステムファイルである、"DNSAPI.DLL" の DNSQuery API を利用し、宛先メールアドレスのドメインについてデフォルトのメールサーバ情報（MXレコード）をクエリーします。

２）Windowsのシステムファイルである、"IPHLPAPI.DLL" の GetNetworkParams API を利用し、送信元メールアドレスのドメインについてデフォルトのメールサーバ情報（MXレコード）をクエリーします。

　ワームメールには Windows のセキュリティホールを利用してメールをオープン/プレビューしただけでも添付ファイルが実行されるダイレクトアクション活動を狙ったコードが含まれています。ワームが利用するセキュリティホールに関しては以下のマイクロソフト社の説明をご参照ください：

不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)

　ただし、このセキュリティホールは古いもののため、既にWindows XP には存在しません。その他のWindowsをご使用の場合は対策パッチの導入を確認してください。セキュリティホールの有無に関わらず、ウイルスファイルを実行した場合にはウイルスは活動を開始しますのでご注意ください。

レジストリ削除：
　ワームは以下のレジストリのキーと値を削除します：

削除されるキー：

キー：HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\WksPatch

キー：HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

キー：HKEY_CLASS_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

場所：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

値　：
• au.exe
• d3dupdate.exe
• DELETE ME
• direct.exe
• gouday.exe
• ICM version
• jijbl
• Microsoft IE Execute shell
• Microsoft System Checkup
• msgsvr32
• OLE
• rate.exe
• Sentry
• service
• srate.exe
• ssate.exe
• sysmon.exe
• Taskmon
• Video
• Windows Services Host
• Winsock2 driver
• winupd.exe
• yeahdude.exe

発病：
・ワームはシステム日付が2004年3月30日午前5時11分だった場合に発病し、ビープ音を鳴らします。

DoS攻撃：
　ワームは起動時にシステム日付をチェックし、2004年4月8～11日だった場合に発病して以下のURLに対してDoS攻撃を行ないます：

• www.edonkey2000.com
• www.kazaa.com
• www.emule-project.net
• www.cracks.am
• www.cracks.st

　ワームによるDoS攻撃は以下の手順で行なわれます：

1. 攻撃対象である5つのURLにWindowsAPIのgethostbyname関数を使用して名前解決を行います。
2. WindowsAPIのInternetGetConnectedStateを使用してコンピュータがインターネットに接続できるかどうかを確認します。インターネットへの接続が確認できなかった場合にはネットワーク攻撃は行なわれません。
3. インターネットへの接続が確認できた場合には、ネットワーク攻撃を行なうために80個のスレッドが作成されます。それぞれのスレッドが名前解決の結果に関わらずランダムに攻撃目標となるURLを選択します。
4. 各スレッドは個々に攻撃対象と決めたURLへの接続（SYN）を試みます。接続に失敗した場合には45ms間隔で接続を繰り返します。この際、攻撃対象となるURLが名前解決できていない場合もあることに注意してください。名前解決できないURLが攻撃対象となった場合、攻撃スレッドはIP0.0.0.0のポート0に対して接続を試み続けます。
5. 攻撃対象に接続した後はHTTPのGETリクエストを250ms間隔で送信し続けます。GETリクエストの内容は　"GET / HTTP/1.1　Host: ＜攻撃対象のURL＞"　です。

・ワームコード内に以下の文字列が暗号化されて含まれています：

We are the only SkyNet, we don't have any criminal inspirations.
Due to many reports, we do not have any backdoors included for spam relaying.
and we aren't children. Due to this, many reports are wrong.

We don't use any virus creation toolkits, only the higher language
Microsoft Visual C++ 6.0. We want to prevent hacker,

cracking, sharing with illegal stuff and similar illegal content.
Hey, big firms only want to make a lot of money.

That is what we don't prefer. We want to solve and avoid it.

Note: Users do not need a new av-update, they need

a better education! We will envolope...

- Best regards, the SkyNet Antivirus Team, Russia 05:11 P.M -

このウイルスに関しては次の情報も参照してください。
概要
対応方法
感染状況

ウイルスデータベース検索

このウイルス情報に関して. こちらのアンケートにお答えください。