WORM_NETSKY.Q - 2004/3/30

感染警報VAC-2に引き上げ　文字化けメールを装いDoS攻撃を行う「WORM_NETSKY.Q」（ネットスカイ）

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：スティーブ・チャン　東証一部：4704、Nasdaq：TMIC 以下 トレンドマイクロ）は、文字化けメールを装い、セキュリティホールを悪用して侵入するワーム「WORM_NETSKY.Q」（ネットスカイ）について日本で被害報告が増加していることから、ウイルス警報VAC-2※1にあげて警告します。なお、トレンドマイクロではすでにパターンファイル番号842（1.842.00）以降にて対応※2し、あわせて無償駆除ツールの提供を行っています。

※１　VAC（Virus Alert Code）
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1～5までのレベルで表示しています。（VAC-1が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp

※２　現在の最新パターンファイル番号は842（1.842.00）です。今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_NETSKY.Q」（ネットスカイ）の特徴について

「WORM_NETSKY.Q」（ネットスカイ）は現在流行中の「NETSKY」の亜種で、自身のコピーをメールで大量送信するワーム活動を行います。台湾、フランス、日本などを中心に感染報告があり、日本国内では現在（2004年3月30日16時）120件の感染被害報告があります。
Windowsのセキュリティホールを利用してワームメールをオープン／プレビューしただけでも添付ファイルが実行されるダイレクトアクション活動を狙ったメールを送信します。 また、感染後は、DoSツールとしての活動も行います。
このワームが悪用するセキュリティホールの詳細に関しましては以下のマイクロソフト社の説明をご参照ください。
●不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する
http://www.microsoft.com/japan/technet/security/bulletin/MS01-020.mspx

このセキュリティホールは既にWindows XP には存在していません。その他のWindowsをご使用の場合は対策パッチの導入を確認してください。セキュリティホールの有無に関わらず、ウイルスファイルを実行した場合は、ウイルスは活動を開始しますのでご注意ください。

■ウイルスの詳細情報および無償駆除ツールのご案内は下記URLよりご確認ください。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.Q

「WORM_NETSKY.Q」（ネットスカイ）の概要

● 現時点（2004年3月30日16時現在）の感染被害報告件数：日本国内120件　
● 感染対象： Windows 95、98、ME、NT、2000、XP
● 感染・侵入経路： e-mailの添付ファイル（メールのアイコンを使用しています）
ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。セキュリティホールが修正されていない環境ではメールをプレビュー/オープンしただけで添付ファイルが実行され、ワームが活動してしまいます。 　

送信されるメールは以下の内容です：
・送信者： 詐称
・件名: 不定（ウイルスが持つ、多くの候補の中から選ばれます）
・本文: 不定（ウイルスが持つ、多くの候補の中から選ばれます）
・添付ファイル名: data＜ランダムな数字＞、mail＜ランダムな数字＞、message、
message＜ランダムな数字＞、msg＜ランダムな数字＞
※＜ランダムな数字＞の後に、大量の空白（スペース）を挿入して実際の拡張子がすぐに判別できないようなファイル名を使用する場合もあります。
・添付ファイル拡張子: pif、scr、ZIPのいずれか

●感染後の活動 ワームは実行されると、Windowsフォルダにファイルを作成し、Windowsを起動するたびにワームが自動実行されるようにします。
また、ワーム自身が持つメール送信機能を使用し、自身のコピーを添付してメールを大量送信するマスメーリング型ワーム活動を行い、DoS攻撃も行います。

●お勧めする対策： ・ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・Windowsの修正プログラム（セキュリティパッチ）※1を導入してください。
・ワームが実行された場合は、システムの修復の必要があるため、手動で設定を変えるか、トレンドマイクロの無償駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」をご利用ください。

トレンドラボ・ジャパン アンチ・ウイルスセンター　ウイルスエキスパート 岡本勝之　コメント

「WORM_NETSKY.Q」（ネットスカイ）は感染するとメールを大量送信するマスメーリング型ワームです。1月末に発見された「WORM_MYDOOM」のように、件名にメールが届かなかったようなエラーメールを装い、人間の心理をつき、添付ファイルを実行させるという手法を使用しています。
また、このワームはセキュリティホールを利用したダイレクトアクション活動も行いますが、悪用されるセキュリティホールは約2年以上も前のものであり、既にWindows XPでは影響を受けません。他のWindowsでも最低限WindowsUpdateを行っていれば防げる活動です。
ウイルスが変化し活動が多様化しているなかで、今回の「WORM_NETSKY.Q」のような典型的なウイルスに感染したという報告も増えています。怪しいファイルは実行しない、WindowsUpdateは必ず行うといったこういった典型的な手法に関しては、ユーザ一人一人のセキュリティ意識を高くもつことで回避できます。ウイルス対策の基本を忘れないようにしてください。

※TRENDMICRO、Trend Labsはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標または登録商標です。
Copyright (c) 2004 Trend Micro Incorporated. All Rights Reserved.