発見日: April 28, 2004
更新日: August 15, 2011 9:15:48 AM
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000

W32.Netsky.AB@mm は、感染したコンピュータの CD-ROM ドライブを除くすべてのドライブで電子メールアドレスをスキャンするワームです。続いてこのワームは、発見したメールアドレスに対し、独自の SMTP エンジンを使用して自分自身を送信します。 電子メールの件名、本文、添付ファイルは、状況に応じて変わります。 添付ファイルの拡張子は .pif です。 注意: ワーム遮断機能をサポートする個人のお客様向けのシマンテック製品は、この脅威が拡散しようと試みると自動的に検出します。

発見日: April 28, 2004
更新日: August 15, 2011 9:15:48 AM
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000


W32.Netsky.AB@mm が実行されると、次の操作を実行します。

  1. 自分自身を %Windir%\csrss.exe としてコピーします。


    注意: %Windir% は変数です。このワームは Windows のインストール先フォルダ (デフォルトでは C:\Windows または C:\Winnt) を探し、そのロケーションに自分自身をコピーします。

  2. 次の値を、

    "BagleAV"="%Windir%\csrss.exe"

    次のレジストリキーに追加します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    これにより、Windows が起動されたときに、このワームが実行されるようになります。

  3. 「S-k-y-n-e-t--A-n-t-i-v-i-r-u-s-T-e-a-m」という名前のミューテックスを作成して、このワームのインスタンスが 1 つだけ実行されるようにします。

  4. 次の値を、
    • "drvsys.exe"="%Windir%\drvsys.exe"
    • "ssgrate.exe"="%Windir%\ssgrate.exe"

      次のレジストリキーから削除します。

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


      注意: この操作で示した最初の値は、W32.Beagle.W@mm ワームによって投下されます。

  5. 感染したコンピュータのすべてのディスクドライブを列挙し、次の拡張子を持つファイルから電子メールアドレスを取得する個別のスレッドを起動します。
      • .a
      • .ad
      • .adb
      • .as
      • .asp
      • .c
      • .cf
      • .cfg
      • .cg
      • .cgi
      • .d
      • .db
      • .dbx
      • .dh
      • .dht
      • .dhtm
      • .do
      • .doc
      • .e
      • .em
      • .eml
      • .h
      • .ht
      • .htm
      • .html
      • .j
      • .js
      • .jsp
      • .m
      • .mb
      • .mbx
      • .md
      • .mdx
      • .mh
      • .mht
      • .mm
      • .mmf
      • .ms
      • .msg
      • .n
      • .nc
      • .nch
      • .o
      • .od
      • .ods
      • .of
      • .oft
      • .p
      • .ph
      • .php
      • .pl
      • .pp
      • .ppt
      • .r
      • .rt
      • .rtf
      • .s
      • .sh
      • .sht
      • .shtm
      • .st
      • .stm
      • .t
      • .tb
      • .tbb
      • .tx
      • .txt
      • .u
      • .ui
      • .uin
      • .v
      • .vb
      • .vbs
      • .w
      • .wa
      • .wab
      • .ws
      • .wsh
      • .x
      • .xl
      • .xls
      • .xm
      • .xml

        このワームは、次のいずれかの文字列を含むアドレスには電子メールを送信しません。
      • iruslis
      • antivir
      • sophos
      • freeav
      • andasoftwa
      • skynet
      • messagelabs
      • abuse
      • fbi
      • orton
      • f-pro
      • aspersky
      • cafee
      • orman
      • itdefender
      • f-secur
      • avp
      • spam
      • ymantec
      • antivi
      • icrosoft

  6. 自分自身に搭載した SMTP エンジンを使って、見つかった電子メールアドレスに自分自身を送信します。
  7. この電子メールには、次の特徴があります。

    差出人: [詐称]
    件名: (次のいずれか)
    • Correction
    • Hurts
    • Privacy
    • Password
    • Wow
    • Criminal
    • Pictures
    • Text
    • Money
    • Stolen
    • Found
    • Numbers
    • Funny
    • Only love?
    • More samples
    • Picture
    • Letter
    • Question
    • Illegal


      本文: (次のいずれか)
    • Please use the font arial!
    • How can I help you?
    • Still?
    • I've your password. Take it easy!
    • Why do you show your body?
    • Hey, are you criminal?
    • Your pictures are good!
    • The text you sent to me is not so good!
    • True love letter?
    • Do you have no money?
    • Do you have asked me?
    • I've found your creditcard. Check the data!
    • Are your numbers correct?
    • You have no chance...
    • Wow! Why are you so shy?
    • Do you have more samples?
    • Do you have more photos about you?
    • Do you have written the letter?
    • Does it hurt you?
    • Please do not sent me your illegal stuff again!!!


      添付ファイル: (次のいずれか)
    • corrected_doc.pif
    • hurts.pif
    • document1.pif
    • passwords02.pif
    • image034.pif
    • myabuselist.pif
    • your_picture01.pif
    • your_text01.pif
    • your_letter.pif
    • your_bill.pif
    • my_stolen_document.pif
    • visa_data.pif
    • pin_tel.pif
    • your_text.pif
    • loveletter02.pif
    • all_pictures.pif
    • your_letter_03.pif
    • your_picture.pif
    • abuses.pif


      このワームは、デフォルトの DNS サーバーを使って電子メールサーバーの IP アドレスを取得しようと試みます。

      たとえば、電子メールアドレスが someone@hostname.com の場合、サーバー hostname.com の IP アドレスを取得しようと試みます。このワームが失敗した場合、次の DNS サーバーのいずれかを使おうと試みます。
    • 212.44.160.8
    • 195.185.185.195
    • 151.189.13.35
    • 213.191.74.19
    • 193.189.244.205
    • 145.253.2.171
    • 193.141.40.42
    • 193.193.144.12
    • 217.5.97.137
    • 195.20.224.234
    • 194.25.2.130
    • 194.25.2.129
    • 212.185.252.136
    • 212.185.253.70
    • 212.185.252.73
    • 62.155.255.16
    • 194.25.2.134
    • 194.25.2.133
    • 194.25.2.132
    • 194.25.2.131
    • 193.193.158.10
    • 212.7.128.165
    • 212.7.128.162


Symantec Gateway Security 5400 シリーズと Symantec Gateway Security v1.0
  • ウイルス対策コンポーネント: W32.Netsky.AB@mm ワームから保護するための Symantec Gateway Security ウイルス対策エンジンのアップデートを入手できます。Symantec Gateway Security 5000 シリーズのユーザーは、LiveUpdate を実行してください。
  • IDS/IPS コンポーネント: 現在、このワームに対するアップデートは計画されていません。
  • アプリケーションの全体検査のためのファイアウォールコンポーネント: ポリシーウィザードを介して設定した場合、シマンテックのアプリケーション全体検査のためのファイアウォール技術は、標準設定で、感染したシステムを遮断してインターネットに直接電子メールを送信させないことで、W32.Netsky.AB@mm ワームの拡散を防止します。

Symantec Enterprise Firewall 8.0
ポリシーウィザードを介して設定した場合、シマンテックのアプリケーション全体検査のためのファイアウォール技術は、標準設定で、感染したシステムを遮断してインターネットに直接電子メールを送信させないことで、W32.Netsky.AB@mm ワームの拡散を防止します。

Symantec Enterprise Firewall 7.0.x と Symantec VelociRaptor 1.5
SMTP ウィザードを介して設定した場合、シマンテックのアプリケーション全体検査のためのファイアウォール技術は、標準設定で、感染したシステムを遮断してインターネットに直接電子メールを送信させないことで、W32.Netsky.AB@mm ワームの拡散を防止します。

Symantec Clientless VPN Gateway 4400 シリーズ
Symantec Clientless VPN Gateway v5.0 は、この脅威の影響を受けません。追加の拡散のリスクを削減するため、認証されたリモートユーザーからのメールアクセスのみ内部のメールサーバーへのアクセスを許可するルールを作成してください。

Symantec Gateway Security 300 シリーズ
感染のリスクを削減するため、管理者は、SGS 300 シリーズの AVpe 機能を使用してすべての AV クライアントのウイルス定義が最新であることを確認してください。

Symantec Firewall/VPN 100/200 シリーズ
追加の拡散のリスクを削減するため、メールサーバーで送受信するインバウンドまたはアウトバウンドのメールのみ許可するルールがあることを確認してください。

発見日: April 28, 2004
更新日: August 15, 2011 9:15:48 AM
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000



駆除ツールによる駆除
シマンテックセキュリティレスポンスは、W32.Netsky.AB@mm の感染を駆除するための駆除ツール を開発しました。このツールを最初に実行することで、この脅威を最も簡単に駆除できます。

手動による駆除
以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のシマンテック製ウイルス対策製品をご利用のすべてのお客様を対象に記述されています。

  1. システムの復元機能を無効にする (Windows Me、XP)
  2. ウイルス定義を最新版に更新する
  3. コンピュータをセーフモードまたは VGA モードで再起動する
  4. システムの完全スキャンを実行して、W32.Netsky.AB@mm として検出されるすべてのファイルを削除する
  5. レジストリに追加された変更を元に戻す
各手順の詳細については、次を参照してください。

1. システムの復元機能を無効にする (Windows Me、XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによるシステムの復元機能の改変を防止するように設定されています。そのため、ウイルス対策プログラムやツールは [システムの復元] フォルダ内の脅威を削除できません。他のあらゆる場所で感染ファイルを削除した場合でも、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、脅威が駆除された後でも、ウイルススキャンによってシステムの復元フォルダに脅威が検出されることがあります。

システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは下記の文書を参照してください。
注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能の無効化以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について」を参照してください。

2. ウイルス定義を最新版に更新する
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済みです。最新版のウイルス定義ファイルは、次の 2 つの方法で入手できます。

  • LiveUpdate を実行すると、簡単にウイルス定義ファイルを入手できます。LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。
  • Intelligent Updater を使ってウイルス定義ファイルをダウンロードします。Intelligent Updater は、シマンテックの Web サイトと FTP サイトで提供されています。ダウンロードしたプログラムを実行することにより、ご使用のコンピュータのウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日更新され、LiveUpdate よりも早いタイミングで更新されます。

    注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお勧めします。Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらを参照してください。

3. コンピュータをセーフモードまたは VGA モードで再起動する

コンピュータをシャットダウンして電源を切ります。少なくとも 30 秒間待ってから、セーフモードまたは VGA モードでコンピュータを再起動します。
  • Windows 95、98、Me、2000、XP ユーザーは、セーフモードでコンピュータを再起動します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法」を参照してください。
  • Windows NT 4 ユーザーは、VGA モードでコンピュータを再起動します。
4. 感染ファイルをスキャンして削除する
  1. シマンテック製ウイルス対策プログラムを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。
  2. システムの完全スキャンを実行します。
  3. W32.Netsky.AB@mm に感染したファイルが検出された場合は、[削除] をクリックします。

5. レジストリに追加された変更を元に戻す


重要: システムレジストリを変更する際は、事前にバックアップを作成しておくことを強く推奨します。レジストリへの不適切な変更は、データ消失やファイル破損など修復不可能な問題を引き起こす可能性があります。指定されたキーだけを修正してください。作業を開始する前に、必ず「レジストリのバックアップ方法 」を参照してください。
  1. [スタート]、[ファイル名を指定して実行] の順にクリックします。([ファイル名を指定して実行] ダイアログボックスが表示されます)
  2. 次の文字列を入力します。 regedit

    その後、[OK] をクリックします。(レジストリエディタが開きます)

  3. 次のレジストリキーに移動します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  4. 右側のペインで次の値を削除します。

    "BagleAV"="%Windir%\csrss.exe"

  5. レジストリエディタを終了します。

  6. コンピュータを通常モードで再起動します。 コンピュータを通常モードで再起動する方法については、「コンピュータをセーフモードで起動する方法」の通常モードでの再起動セクションを参照してください。