高
サマリー
サマリー
アクション| 感染対象 OS | Windows |
|---|---|
| 保護提供の開始日時 | 2004年3月1日 11:41:57 (GMT) |
| 最終更新日時 | 2004年3月10日 23:25:41 (GMT) |
| 検出製品 | すべてのソフォス製品 |
アクション
詳細情報
W32/Netsky-D は、電子メール経由で蔓延するワームです。自身を送信する場合、ワームは送信者メールアドレスを偽造することができます。
W32/Netsky-D は次のような特徴を持つメールにて到着することがあります:
件名:
Re: Approved
Re: Details
Re: Document
Re: Excel file
Re: Hello
Re: Here
Re: Here is the document
Re: Hi
Re: My details
Re: Re: Document
Re: Re: Message
Re: Re: Re: Your document
Re: Re: Thanks!
Re: Thanks!
Re: Word file
Re: Your archive
Re: Your bill
Re: Your details
Re: Your document
Re: Your letter
Re: Your music
Re: Your picture
Re: Your product
Re: Your software
Re: Your text
Re: Your website
本文:
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
添付ファイル名:
all_document.pif
application.pif
document.pif
document_4351.pif
document_excel.pif
document_full.pif
document_word.pif
message_details.pif
message_part2.pif
mp3music.pif
my_details.pif
your_archive.pif
your_bill.pif
your_details.pif
your_document.pif
your_file.pif
your_letter.pif
your_picture.pif
your_product.pif
your_text.pif
your_website.pif
yours.pif
初めて実行されると W32/Netsky-D は自身を winlogon.exe として Windows フォルダにコピーし、ユーザーがコンピュータにログオンするたびに winlogon.exe が自動的に実行されるよう以下のレジストリ値を作成します:
HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥
ICQ Net = <WINDOWS>¥winlogon.exe -stealth
W32/Netsky-D はマッピングされたドライブにて、次の拡張子のあるファイル内でメールアドレスを探します:
MSG、OFT、SHT、DBX、TBB、ADB、DOC、WAB、ASP、UIN、RTF、VBS、HTML、HTM、PL、PHP、TXT、EML
W32/Netsky-D は次のレジストリ値を削除しようとします:
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥au.exe
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥d3dupdate.exe
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥Explorer
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥KasperskyAv
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥OLE
HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run¥Taskmon
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥DELETE ME
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥Explorer
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥KasperskyAv
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥msgsvr32
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥Sentry
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥service
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥system
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run¥Taskmon
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥RunServices¥
system
HKCR¥CLSID¥{E6FB5E20-DE35-11CF-9C87-00AA005127ED}¥InProcServer32
W32/Netsky-D は次の IP アドレスをクエリします:
62.155.255.16
145.253.2.171
151.189.13.35
193.193.158.10
193.193.144.12
193.189.244.205
193.141.40.42
194.25.2.129
194.25.2.130
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
195.185.185.195
195.20.224.234
212.185.252.136
212.7.128.162
212.7.128.165
212.185.253.70
212.185.252.73
212.44.160.8
213.191.74.19
217.5.97.137
W32/Netsky-D は、以前の亜種と同様、W32/MyDoom-A ワームとW32/MyDoom-B ワームに関連したレジストリ値を含む、一部のレジストリ値を削除しようとします。
ワームが2004年3月2日の午前6時から午前8時59分の間に実行されると、コンピュータが時折ビープ音を発する場合があります。
|
