マクロウイルス(ワーム) WORM_NETSKY 添付メールに付いて

最近、以下のような(メール本文を参照) 「aon.gr.jpユーザーの皆様へ」というマクロウイルスを添付したメールが大量に配信されています。本文の内容は「貴方のメールアカウントからMSBlast.Bというワームが添付されたメールが大量に届きました。」という書き出しで始まり、もっともらしい文面が続いた後に、「私たちは、あなたのコンピューターのワームを削除し、このメイルに付けられた特別のdesinfection(スペルが間違っています正しくはdisinfections[消毒]) ツールを備えた製品をあなたに提供しています。」として、ワームWORM_NETSKY.ACを添付しています。

以上のように極めて悪質なタイプのワームですから、絶対に添付ファイルを開けないで下さい。

このワームはNETSKYの亜種でワームに分類されるトロイの木馬型不正プログラムです。システムのプロセスに常駐し、自身を添付したメールを送信するワーム活動を行います。添付ファイル(Fix_Mydoom.F_5375.cpl )(添付ファイル名は確定的なものでは無いかも知れません)を開けない限り起動しませんので、メール本文と共に削除してください。

このタイプのワームは送信者詐称が行われますので、Fromから発信先を特定できません。また、発信元IPアドレスも詐称しています。(aon.gr.jpというsmtpサーバーは存在しません。)

発信元のplala.or.jpは動的IPアドレスを採用している様ですから、その後に続くIP「数字」から発信元は判断できませんが、プララとプロバイダ契約をしていて、ウイルス対策ソフトを導入していない方が発信元になっている可能性は有ります。

思い当たる方はhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.AC
から対処してください。

-----------------------------------------------------------------------------
Return-Path: <support@sophos.com>
Received: from aon.gr.jp (xqyrxkbfwa@r102033.ap.plala.or.jp [220.XXX.XXX.33])
by www.orions.jp (8.9.3/8.9.3) with ESMTP id MAA03142
for <mabito@aon.gr.jp>; Fri, 13 Aug 2004 12:50:39 +0900
From: support@sophos.com
Message-Id: <200408130350.MAA03142@www.orions.jp>
To: 貴方のメールアドレス
Subject: Escalation
Date: Fri, 13 Aug 2004 12:50:41 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0013_000018D4.000066F6"
X-Priority: 3
X-MSMail-Priority: Normal
X-UIDL: pJ$#!1H5!!<E^"!03m!!

-----------------------------------------------------------------------------
ここからメール本文

Dear user of aon.gr.jp,


We have received several abuses:

- Hundreds of infected e-Mails have been sent
from your mail account by the new MSBlast.B worm
- Spam email has been relayed by the backdoor
that the virus has created

The malicious file uses your mail account to distribute
itself. The backdoor that the worm opens allows remote attackers
to gain the control of your computer. This new worm
is spreading rapidly around the world now
and it is a serios new threat that hits users.

Due to this, we are providing you to remove the
infection on your computer and to
stop the spreading of the malware with a
special desinfection tool attached to this mail.

If you have problems with the virus removal file,
please contact our support team at support@sophos.com.
Note that we do not accept html email messages.


Sophos AntiVirus Research Team
Attach: Fix_MSBlast.B_25863.cpl

-----------------------------------------------------------------
添付ファイル名 Fix_Mydoom.F_5375.cpl
タイプ マクロウイルス WORM_NETSKY.AC