ウイルス名: WORM_GONE.A 別 名: Pentagone, WORM_GONER, W32/GONER, I-WORM.GONER 言 語: 英語 ウイルス種類: トロイの木馬型(ワーム) プラットフォーム: Windows 暗号化: No ウイルスサイズ: 38912bytes 発見地: ドイツ? 発見日: 2001年12月4日 遭遇の可能性: 高い 対応パターン#: 977または177 パターンファイルを2個表示していることについて 発病条件 1: ファイル実行時 破壊活動 1: メールを自動送信する 破壊活動 2: ファイルを削除する 破壊活動 3: DoS攻撃 -------------------------------------------------------------------------------- 詳 細: -  これはワームに分類されるトロイの木馬型不正プログラムです。自身のコピーをOutlookのメールやICQのメッセージに添付して任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。  ワームの送信するメールは以下の内容です:  件名: "Hi"  メール本文: "How are you ? When I saw this screensaver, I immediately thought about you I am in a harry, I promise you will love it!"  添付ファイル名: "GONE.SCR" 活動:  ワームのプログラムが実行されると以下の文字列を含むメッセージボックスが表示されユーザーの目を欺きます:  タイトル: "About"  内容: "pentagone" "coded by: suid" "texted by: ThE_SKuLL and |satan|" "greetings to: TraceWar. k9_unit, stef16 ^Reno" "greetings also to nonick2 out" "there where ever you are"  また、"Error While Analyze DirectX!"という文字列を含めエラーメッセージも表示します。  その後、ワームはシステムに常駐し、以下の活動を行います。ワームのプロセスはサービスとして常駐するのでAlt-Ctrl-Delのタスクマネージャではワームのプロセスが表示されません。 1)システム改変:  Windowsのシステムフォルダ(Windows9x/Meのデフォルトではc:\Windows\system、WindowsNT/2000/XPではc:\WinNT\system32)に"GONE.SCR"のファイル名で自身のコピーを作成します。"GONE.SCR"は隠し属性で作成されますのでWindowsの設定によっては存在が表示されません。  そしてWindowsのレジストリに以下の値を作成します:  場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   値:<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr  これにより、Windows起動時にワームが自動実行されるように設定されます。  また、Windowsのシステムファイルである"Wininit.ini"に最初に実行された自身のファイルを削除する記述を追加します。これによって次回Windows起動時に最初に実行されたワームのファイルは削除されなくなってしまいます。 2)ワーム活動(マスメイリング):  ワームは自身のコピーを添付したメールを任意のアドレスに送信します。ワームはOutlookの設定とWindowsのMAPI機能を利用してメールを送信します。Outlookで有効な電子メールの設定が行われていない、もしくはOutlookがインストールされていない環境ではワームはメール送信が行えません。  ワームはWindowsのアドレス帳に登録されているすべてのアドレスに対してメール送信を試みます。ワームは送信したメールを送信後にすべて削除してしまうのでOutlookの送信済みボックスなどに残ることはありません。 3)ワーム活動(ICQ):  ワームはインターネット上のチャットソフトであるICQのメッセージにも自身のコピーを添付して頒布させます。ICQの機能を利用し、接続中のユーザーにワームファイルを添付したメッセージを送信します。 4)DDoSツール活動:  ワームはインターネット上のチャットソフトである「mIRC」をDDoSツールとして利用できるように設定します。ワームは「mIRC」の設定ファイルである"remote.ini"を作成し、「mIRC」の設定ファイルである"MIRC.INI"を改変してmIRC使用時に"remote.ini"の内容が実行させれるようにします。これによってウイルス作者は感染マシンでランダムな名前のダミーユーザーを作成して参加中のIRCチャンネルとそのチャンネルに参加中の全ユーザーに対して大量のデータを送信してネットワークを混乱させるDoS攻撃を行わせることができるようになります。 5)破壊活動: このワームはメモリ中に以下の名称のプログラムを発見すると、メモリ中から強制終了するとともに、そのプログラムのファイルが存在するディレクトリ内のすべてのファイルを削除します: IAMAPP.EXE IAMSERV.EXE CFINET.EXE APLICA32.EXE ZONEALARM.EXE ESAFE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE PCFWALLICON.EXE FRW.EXE VSHWIN32.EXE VSECOMR.EXE WEBSCANX.EXE AVCONSOL.EXE VSSTAT.EXE NAVAPW32.EXE NAVW32.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE ICLOAD95.EXE ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE TDS2-98.EXE TDS2-NT.EXE SAFEWEB.EXE -------------------------------------------------------------------------------- 備 考: - 対応方法:  単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」処理を行ってください。  ワームを実行してしまい、システムが改変された場合には以下の手順で手動にて修復を行ってください: 手動削除手順: Windows 95/98/Meの場合:  1)コンピュータを再起動します。  2)起動時にF8を押し、”Command prompt only”を選択します。  3)システムディレクトリに移動します。(通常はC:\Windows\Systemです)。  4)"attrib -s -h -r gone.scr"と入力します。  5)"del gone.scr"と入力してワームファイルを削除します。  6)コンピュータを再起動します。  7)以下のレジストリの値を削除します。  場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   値:<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr Windows NT/2000の場合:  1)Windows 2000 CDで起動し、修復インストールの回復コンソールを選択します。  2システムディレクトリに移動します。(通常はC:\WinNT\System32です)。  3)"attrib -s -h -r gone.scr"と入力します。  4)"del gone.scr"と入力してワームファイルを削除します。  5)コンピュータを再起動します。  6)以下のレジストリの値を削除します。  場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   値:<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr  上記手順終了後には確認のためウイルス検索を行い、「WORM_GONE.A」としてウイルス検出したファイルをすべて削除してください。 ---  このワームのプログラムはVisualBasicで作成されたものとみられます。