WORM_GONE.A
● 感染対象
Windows 環境のコンピュータ
● 感染経路
e-mailの添付ファイル
● 感染を防ぐための注意事項
件名:"Hi"、添付ファイル名: "GONE.SCR"などのe-mailを受け取った場合は、すぐe-mailを削除してください。
また、最新のウイルス対策ソフトでコンピュータをリアルタイムにウイルス検索することをおすすめします。
● 「WORM_GONE.A」を検出した場合
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」を行ってください。
ワームが実行されたことによりシステムが改変された場合は、以下の手順で修復を行う必要があります。
手動削除手順:
■Windows 95/98/Meの場合:
1) コンピュータを再起動します。
2) 起動時にF8を押し、”Command prompt only"を選択します。
3) システムディレクトリに移動します。(通常はC:\Windows\Systemです)。
4) "attrib -s -h -r gone.scr"と入力します。
5) "del gone.scr"と入力してワームファイルを削除します。
6) コンピュータを再起動します。
7) 以下のレジストリの値を削除します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
■Windows NT/2000の場合:
1) Windows 2000 CDで起動し、修復インストールの回復コンソールを選択します。
2) システムディレクトリに移動します。(通常はC:\WinNT\System32です)。
3) "attrib -s -h -r gone.scr"と入力します。
4) "del gone.scr"と入力してワームファイルを削除します。
5) コンピュータを再起動します。
6) 以下のレジストリの値を削除します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
上記手順終了後には確認のためウイルス検索を行い、「WORM_GONE.A」としてウイルス検出したファイルをすべて削除してください。
● ウイルスの活動
これはワームに分類されるトロイの木馬型不正プログラムです。自身のコピーをOutlookのe-mailやICQのメッセージに添付して任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
ウイルスによって送信されるe-mailについて
◆送信者アドレス(From):
ウイルス感染者(マシン所有者)
◆送信先:
Outlookのアドレス帳にあるすべてのアドレス
◆メール件名:
"Hi"
◆添付ファイル名:
"GONE.SCR"
◆メール本文:
"How are you ?
When I saw this screensaver, I immediately thoughtabout you
I am in a harry, I promise you will love it!"
また、"Error While Analyze DirectX!"という文字列を含めエラーメッセージも表示します。
その後、ワームはシステムに常駐し、以下の活動を行います。ワームのプロセスはサービスとして常駐するのでAlt-Ctrl-Delのタスクマネージャではワームのプロセスが表示されません。
1)システム改変:
Windowsのシステムフォルダ(Windows9x/Meのデフォルトではc:\Windows\system、WindowsNT/2000/XPではc:\WinNT\system32)に"GONE.SCR"のファイル名で自身のコピーを作成します。"GONE.SCR"は隠し属性で作成されますのでWindowsの設定によっては存在が表示されません。 そしてWindowsのレジストリに以下の値を作成します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
これにより、Windows起動時にワームが自動実行されるように設定されます。
また、Windowsのシステムファイルである"Wininit.ini"に最初に実行された自身のファイルを削除する記述を追加します。これによって次回Windows起動時に最初に実行されたワームのファイルは削除され、なくなってしまいます。
2)ワーム活動(マスメイリング):
ワームは自身のコピーを添付したe-mailを任意のアドレスに送信します。ワームはOutlookの設定とWindowsのMAPI機能を利用してメールを送信します。Outlookで有効なe-mailの設定が行われていない、もしくはOutlookがインストールされていない環境ではワームはe-mail送信が行えません。ワームはWindowsのアドレス帳に登録されているすべてのアドレスに対してe-mail送信を試みます。ワームは送信したe-mailを送信後にすべて削除してしまうのでOutlookの送信済みボックスなどに残ることはありません。
3)ワーム活動(ICQ):
ワームはインターネット上のチャットソフトであるICQのメッセージにも自身のコピーを添付して頒布させます。ICQの機能を利用し、接続中のユーザーにワームファイルを添付したメッセージを送信します。
4)DDoSツール活動:
ワームはインターネット上のチャットソフトである「mIRC」をDDoSツールとして利用できるように設定します。ワームは「mIRC」の設定ファイルである"remote.ini"を作成し、「mIRC」の設定ファイルである"MIRC.INI"を改変してmIRC使用時に"remote.ini"の内容が実行させれるようにします。これによってウイルス作者は感染マシンでランダムな名前のダミーユーザーを作成して参加中のIRCチャンネルとそのチャンネルに参加中の全ユーザーに対して大量のデータを送信してネットワークを混乱させるDoS攻撃を行わせることができるようになります。
|