トップページへ > セキュリティ情報 トップ > NETSKY(ネットスカイ)

コンピュータウイルス「NETSKY」の種類と感染確認方法

感染が確認できた場合は、ウイルス対策ソフトメーカが提供している駆除ツールを利用することをお薦めします。
ページ右上の「ネットワークセキュリティ関連リンク」の中に、ソフトメーカへのリンクがあります。

※ ここに示したデータはトレンドマイクロのウイルスデータベースを基にしています。


NETSKY.A  発見日: 2004/02/16(米国時間)
別 名: Moodown
プラットフォーム: Windows 2000, XP

<Windowsフォルダ>に"SERVICES.EXE"というファイルが作成され、レジストリが改変される。

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :service = <Windowsフォルダ>\services.exe -serv"


NETSKY.B  発見日: 2004/02/18(米国時間)
別 名: Moodown.B
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に"SERVICES.EXE"というファイルが作成され、レジストリが改変される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:service = %Windows%\services.exe -serv


NETSKY.C  発見日: 2004/02/25(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に"winlogon.exe"というファイルが作成され、レジストリが改変される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :ICQ Net = "%Windows%\winlogon.exe -stealth"

※ 起動されたときのシステム日付が「2004年2月26日」の午前6時〜9時の間だった場合、ビープ音を鳴らします。
  この発病は午前9時1分まで続きます。


NETSKY.D  発見日: 2004/03/01(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に"WINLOGON.EXE"というファイルを作成し、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :ICQ Net = "<Windowsフォルダ>\winlogon.exe -stealth"

※ システム時計が2004年3月2日の午前6:00〜8:00の間に実行された場合発病し、ビープ音を鳴らします。


NETSKY.E  発見日: 2004/03/01(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に"WINLOGON.EXE"というファイルが作成され、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :ICQ Net = "<Windowsフォルダ>\winlogon.exe -stealth"

※ 感染コンピュータのシステム時間が2004年3月2日の午前6時から午前9時の間にビープ音を鳴らします。
  この活動は、午前8時59分まで続きます。


NETSKY.F  発見日: 2004/03/03(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に"SVCHOST.EXE"というファイルが作成され、レジストリが改変される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :Zone Labs Client Ex = "<Windowsフォルダ>\svchost.exe ?antivirus service"

※ 感染コンピュータのシステム時間が2004年3月2日の午前6時から午前9時の間にビープ音を鳴らします。
この活動は、午前8時59分まで続きます。


NETSKY.G  発見日: 2004/03/04(米国時間)
プラットフォーム: Windows 95, 98, ME, 2000, XP

<Windowsフォルダ>に"AVGUARD.EXE"というファイルが作成され、レジストリが改変される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
値: Special Firewall Service="<Windowsフォルダ>\avguard.exe -av service"

※ 感染コンピュータのシステム時間が2004年3月10日の午前6時から午前8時の間にビープ音を鳴らします。


NETSKY.H  発見日: 2004/03/05(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"MAJA.EXE"を作成し、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Antivirus = "<Windowsフォルダ>\MAJA.EXE ?antivirus service"

※ 感染コンピュータのシステム時間が2004年3月8日の午前11時にビープ音を鳴らします


NETSKY.I  発見日: 2004/03/07(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"FOODING.EXE"が作成され、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :Tiny AV = "%Windows%\fooding.exe -antivirus service"

※ 感染コンピュータのシステム時間が2004年3月8日の午前11時にビープ音を鳴らします


NETSKY.J  発見日: 2004/03/08(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"winlogon.exe"が作成され、レジストリが改変される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run
値 :ICQ Net = "<Windowsフォルダ>\winlogon.exe -stealth"


NETSKY.K

<Windowsフォルダ>にファイル名"AVPGUARD.exe"が作成され、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:My AV = "<Windowsフォルダ>\AVPGUARD.exe ?av serv"


NETSKY.L  発見日: 2004/03/10(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"AVPROTECT.EXE"が作成され、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
値:HtProtect = "<Windowsフォルダ>\AVprotect.exe"


NETSKY.N  発見日: 2004/03/16(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"VISUALGUARD.EXE"が作成され、レジストリを改変する
また、以下のファイルが作成される
BASE64.TMP
ZIP1.TMP
ZIP2.TMP
ZIP3.TMP
ZIP4.TMP
ZIP5.TMP
ZIP6.TMP
ZIPPED.TMP

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :NetDy = "<Windowsフォルダ>\VisualGuard.exe"


NETSKY.O  発見日: 2004/03/17(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>にファイル名"AVBGLE.EXE"が作成され、レジストリを改変する

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :MSInfo = "<Windowsフォルダ>\AVBgle.exe"

場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
キー:NPF

場所:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
キー:LEGACY_NPF


NETSKY.P  発見日: 2004/03/21(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成される
FVPROTECT.EXE
USERCONFIG9X.DLL

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :Norton Antivirus AV = "%Windows%\FVProtect.exe"

※ Windowsのセキュリティホール(MS01-020) を利用してワームメールを表示しただけでも添付ファイルが実行される


NETSKY.Q  発見日: 2004/03/28(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成され、レジストリが改変される
FIREWALLLOGGER.TXT
SYSMONXP.EXE
ZIPO0.TXT
ZIPO1.TXT
ZIPO2.TXT
ZIPO3.TXT

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :SysMonXP = "C:\Windows\SysMonXP.exe"

※ Windowsのセキュリティホール(MS01-020) を利用してワームメールを表示しただけでも添付ファイルが実行される

※ ワームはシステム日付が2004年4月8〜11日だった場合に発病し、以下のURLに対してネットワーク攻撃を行なう
www.edonkey2000.com
www.kazaa.com
www.emule-project.net
www.cracks.am
www.cracks.st


NETSKY.R  発見日: 2004/03/31(米国時間)
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成されます
pandaavengine.exe
temp09094283.dll
uinmzertinmds.opm

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :PandaAVEngine = "%Windows%\PandaAVEngine.exe"

※ Windowsのセキュリティホール(MS01-020) を利用してワームメールを表示しただけでも添付ファイルが実行される

※ 1)ワームはシステム日付が2004年3月30日の午前5時11分だった場合に発病し、ビープ音を鳴らします。
   2)ワームはシステム日付が2004年4月12〜16日だった場合に発病し、以下のURLに対してネットワーク攻撃を行ないます
www.keygen.us
www.kazaa.com
www.emule-project.net
www.cracks.am
www.emule.dn


NETSKY.S 発見日: 2004/04/04(米国時間) <2003年4月8日追記>
別 名: I-Worm/Netsky.T
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

Windowsフォルダにファイル "EASYAV.EXE" が作成され、レジストリの値が変更される

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :EasyAV = <Windowsフォルダ>\EasyAV.EXE

※ ワームはTCPポート6789をオープンし、不正リモートユーザからのコマンドを待機します。

NETSKY.T  発見日: 2004/04/06(米国時間) <2003年4月7日追記>
プラットフォーム: Windows NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成されます
EASYAV.EXE    :ワームのコピー
UINMZERTINMDS.OPM :ワームファイルをエンコードした状態のコピー

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :EasyAV = "C:\Windows\EasyAV.exe"

※ システム日付が2004年4月14〜23日だった場合には発病して特定のURLに対してDoS攻撃を行ないます
※ ポート6789をオープンし、外部からの接続を待ち受けます。外部のユーザはワームが待ち受けるポートに接続することより、リモートコントロールが可能になります。


NETSKY.U  発見日: 2004/04/07(米国時間) <2004年4月16日追記>
別 名: ネットスカイ, Worm/Netsky.#1
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成されます
SymAV.exe     :ワームのコピー
fuck_you_bagle.txt :ワームファイルをBase64エンコードした状態のコピー

レジストリ追加 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :SymAV = %Windows%\SymAV.exe


NETSKY.V 発見日: 2004/04/14(米国時間)  <2004年4月21日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルが作成される
KASPERSKYAVENG.EXE

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:KasperskyAVEng="<Windowsフォルダ>\KasperskyAVEng.exe"


NETSKY.W 発見日: 2004/04/16(米国時間)  <2004年4月22日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP
別 名: Win32/Netsky.N@mm, I-Worm.NetSky.o, W32.Netsky.W@mm, I-Worm.Win32.Netsky.24064.B,

<Windowsフォルダ>に以下のファイルを作成します
VISUALGUARD.EXE
BASE64.TMP
ZIP1.TMP
ZIP2.TMP
ZIP3.TMP
ZIP4.TMP
ZIP5.TMP
ZIP6.TMP
ZIPPED.TMP

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:NetDy = %Windows%\VISUALGUARD.EXE


NETSKY.X 発見日: 2004/04/20(米国時間)  <2004年4月22日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に 以下のファイルを作成します
FirewallSvr.exe (26,112 bytes):ワームのコピー
fuck_you_bagle.txt (35784 bytes):base64エンコードしたワームのコピー

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:FirewallSvr = "%Windows%\FirewallSvr.exe"


NETSKY.Y 発見日: 2004/04/20(米国時間)  <2004年4月21日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルを作成します
FirewallSvr.exe (26,112 bytes) - 自身のコピー
fuck_you_bagle.txt (35784 bytes) - 自身をBase64でエンコードしたファイル

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:FirewallSvr = "<Windowsフォルダ>\FirewallSvr.exe"

※ DoS攻撃
このワームは2004年4月28日〜30日に以下のWEBサイトに対しDoS攻撃を行います。
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
※ このワームはTCPポート82をオープンし外部との通信を行なうためのコードが含まれています。
  そして、受信したデータをランダムなファイル名のEXEファイルとして保存し、実行させる活動も含んでいます。


NETSKY.Z 発見日: 2004/04/21(米国時間)  <2004年4月22日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に "Jammer2nd.exe" のファイル名で自身をコピーします。

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Jammer2nd = "%Windows%\Jammer2nd.exe"

※ 以下のWEBサイトに対しDoS攻撃を行うコードを含んでいます
www.educa.ch
www.medinfo.ufl.edu
www.nibis.de


NETSKY.AA 発見日: 2004/04/26(米国時間) <2004年4月28日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に "winlogon.scr " のファイル名で自身をコピーします

レジストリ追加
場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値:SkynetsRevenge = "%Windows%\winlogon.scr"


NETSKY.AB 発見日: 2004/04/27(米国時間) <2004年4月28日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に "CSRSS.EXE" のファイル名で自身をコピーします

レジストリ追加
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:BagleAV = %Windows%\CSRSS.EXE


NETSKY.AC 発見日: 2004/05/02(米国時間) <2004年5月3日追記>
プラットフォーム: Windows 95, 98, ME, NT, 2000, XP

<Windowsフォルダ>に以下のファイルを作成。
COMP.CPL
WSERVER.EXE

レジストリ追加
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Wserver = "%Windows%\wserver.exe"



参  考 <Windowsフォルダ> <WindowsSystemフォルダ>
Windows9x/Me C:\Windows C:\Windows\System
WindowsNT/2000  C:\WinNT C:\WinNT\System32
WindowsXP C:\Windows C:\Windows\System32