テクニカルサポート > Virus Information Center > 2004年公開情報リスト > Win32.Netsky.Z

Win32.Netsky.Z

別名 I-Worm.NetSky.aa (Kaspersky), Win32/Netsky.Z (Eset), W32/Netsky.z@MM (McAfee)
カテゴリ Win32
タイプ ワーム
文書公開日 4/21/2004
最終更新日 4/21/2004
被害 : LOW
破壊 : LOW
感染 : HIGH

特徴

Win32.Netsky.Zは、電子メール経由で増殖するワームです。 22,016バイトのWin32実行ファイルとして配布されます。

感染方法

実行されると、Netsky.Zは自身を以下にコピーします。

%Windows%\Jammer2nd.exe

その後、レジストリを改変しWindows起動時にこのコピーが実行されるよう設定します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jammer2nd = "%Windows%\Jammer2nd.exe"

注: 「%Windows%」は可変ロケーションです。 ワームはオペレーティング システムを検索し、現行のWindowsフォルダのロケーションを調べます。 Windowsディレクトリのデフォルト インストール先は、Windows 2000およびNTではC:\Winnt、95/98/MEではC:\Windows、XPではC:\Windowsになっています。

ワームは「(S)(k)(y)(N)(e)(t)」と呼ばれるmutexを生成し、ワームのコピーの1つがシステム上で実行されるようにします。

ワームはさらに、ZIPで圧縮されたワームのコピーを含むBASE64でエンコードされたファイルを埋め込みます。 これらのファイルは%Windows%ディレクトリに置かれ、以下の名前が付けられます。

PK_ZIP1.LOG
PK_ZIP2.LOG
PK_ZIP3.LOG
PK_ZIP4.LOG
PK_ZIP5.LOG
PK_ZIP6.LOG
PK_ZIP7.LOG
PK_ZIP8.LOG.

配布方法

電子メール経由

Netsky.Zは自身のSMTPエンジンを使用し、電子メール経由で自身を送信します。

最初に、ワームは自身の送信先アドレスを探して、(CD ROMを除く)C:からZ:ドライブの以下の拡張子を持つファイルを検索します。

adb
asp
cfg
cgi
dbx
dhtm
doc
eml
htm
html
jsp
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
ppt
rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls
xml

ワームは、感染マシンから収集した電子メール アドレスを挿入するか、「jamainlbbbsdef@yahoo.com」アドレスを使って、メッセージの「差出人」アドレスを偽装します。

ワームが生成する電子メール メッセージは以下のようになります。

件名の例:
Important
Document
Hello
Information
Hi

メッセージ本文の例:
Important informations!
Important textfile!
Important!
Important data!
Important bill!
Important document!
Important notice!
Important details!

添付ファイルは、ZIPで圧縮されたワームのコピーで、以下のいずれかの名前を使用します。

Informations.zip
Textfile.zip
Part-2.zip
Data.zip
Bill.zip
Important.zip
Notice.zip
Details.zip

抽出されると、ファイルはテキスト ファイル アイコンを使ってテキスト ファイルに見せかけます。 2つの拡張子が付けられますが、1つめと2つめの間にスペースがいれられます。
たとえば「Textfile.zip」には、「Textfile.txt [スペース] .exe」という実行ファイルが含まれることになります。

スクリーンショット

ワームが送信するメッセージの例です。

スクリーンショット

スクリーンショット

ペイロード

バックドア機能

Netsky.Zは、TCPポート6656にバックドアをオープンします。 これにより、任意の実行ファイルが感染マシンにアップロードされ、実行されます。

サービス妨害攻撃

日付が2004年5月1~6日までの間である場合、ワームは以下のアドレスに対してサービス妨害攻撃を仕掛けます。

www.nibis.de
www.medinfo.ufl.edu
www.educa.ch

ワームは複数のスレッドを生成し、それぞれがこれらのアドレスのTCPポート80にデータを送信して、この攻撃を実行します。

Analysis by Oleg Petrovsky


対応シグネチャ/エンジン情報

製品 対応シグネチャ
/エンジン情報*		 ウイルス駆除手順
eTrust Antivirus 6x/v7* (InoculateIT Engine) 23.64.77 駆除手順を参照
eTrust Antivirus 6x/v7* (Vet Engine) 11.x/8289 駆除手順を参照
eTrust EZ Antivirus 6.1x 6.1x/5402 駆除手順を参照
Inoculan/InoculateIT 4.x 46.77 駆除手順を参照
Vet Anti-Virus 10.5x 10.5x/5402 駆除手順を参照
Vet Anti-Virus 10.6x 10.6x/8289 駆除手順を参照

* InoculateITおよびeTrust InoculateIT 6.0のアップデートも含む。