WORM_GONE.A - 2001/12/5
"感染警報VAC-2 「WORM_GONE.A」
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、新種ウイルス「WORM_GONE.A(ゴーン)」について、米国など海外での感染報告を受け、日本でもウイルス警報VAC-2※1にて警告するとともに、パターンファイル177(または977)にて対応していることをお知らせいたします。
「WORM_GONE.A」はOutlookのメールとICQのメッセージを利用して自身のコピーを頒布するワーム型不正プログラムです。DDos攻撃およびファイアウォールソフトなどのプログラム削除を行うことが確認されています。
12月5日9時(日本時間)現在、米国を中心に125社での感染報告をトレンドマイクロでは受けており、日本にも上陸する可能性が高いため、警告いたします。
現時点では「NIMDA(ニムダ)」や「WORM_BADTRANS.B(バッドトランスB)」などで悪用されているInternet Explorerのセキュリティホールを利用した、ダイレクトアクション活動を行うことは確認されていません。不審な添付ファイル(「GONE.SCR」)を実行しないことでウイルス感染を予防することが可能です。しかし、そのセキュリティホールを悪用する動きを付け加えた亜種が出現する可能性もあるため、ウイルス対策製品のパターンファイルおよび検索エンジンは常に最新のものをお使いいただくとともに、Internet Explorer の修正プログラム(セキュリティパッチ)を導入することをおすすめします。
※1 VAC(Virus Alert Code) トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)
「WORM_GONE.A」の概要
● 感染対象
Windows 環境のコンピュータ
● 感染経路
e-mailの添付ファイル
● 感染を防ぐための注意事項
【トレンドマイクロ製品をお使いのお客さま】
トレンドマイクロ製品では、本ウイルスに対し、既にパターンファイル177(または977)以降で対応しています。お使いの製品のパターンファイルを最新のものに更新してください。
このウイルスは一個のプログラムのため「駆除」処理はできません。ウイルスが検出された場合は、単純にファイルを削除してください。
【すべてのお客さま】
件名:"Hi"、添付ファイル名: "GONE.SCR"などのe-mailを受け取った場合は、すぐe-mailを削除してください。
また、最新のウイルス対策ソフトでコンピュータをリアルタイムにウイルス検索することをおすすめします。
● 「WORM_GONE.A」を検出した場合
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」を行ってください。
ワームが実行されたことによりシステムが改変された場合は、以下の手順で修復を行う必要があります。
手動削除手順:
■Windows 95/98/Meの場合:
1) コンピュータを再起動します。
2) 起動時にF8を押し、"Command prompt only"を選択します。
3) システムディレクトリに移動します。(通常はC:\Windows\Systemです)。
4) "attrib -s -h -r gone.scr"と入力します。
5) "del gone.scr"と入力してワームファイルを削除します。
6) コンピュータを再起動します。
7) 以下のレジストリの値を削除します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
■Windows NT/2000の場合:
1) Windows 2000 CDで起動し、修復インストールの回復コンソールを選択します。
2) システムディレクトリに移動します。(通常はC:\WinNT\System32です)。
3) "attrib -s -h -r gone.scr"と入力します。
4) "del gone.scr"と入力してワームファイルを削除します。
5) コンピュータを再起動します。
6) 以下のレジストリの値を削除します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 :<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
上記手順終了後には確認のためウイルス検索を行い、「WORM_GONE.A」としてウイルス検出したファイルをすべて削除してください。
● ウイルスの活動
これはワームに分類されるトロイの木馬型不正プログラムです。自身のコピーをOutlookのe-mailやICQのメッセージに添付して任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
ウイルスによって送信されるe-mailについて
◆送信者アドレス(From):
ウイルス感染者(マシン所有者)
◆送信先:
Outlookのアドレス帳にあるすべてのアドレス
◆メール件名:
"Hi"
◆添付ファイル名:
GONE.SCR
◆メール本文:
"How are you ? When I saw this screensaver, I immediately thoughtabout you I am in a harry, I promise you will love it!"
ワームが実行されると下記のWindowが表示されます。
また、"Error While Analyze DirectX!"という文字列を含めエラーメッセージも表示します。
その後、ワームはシステムに常駐し、以下の活動を行います。ワームのプロセスはサービスとして常駐するのでAlt-Ctrl-Delのタスクマネージャではワームのプロセスが表示されません。
1)システム改変:
Windowsのシステムフォルダ(Windows9x/Meのデフォルトではc:\Windows\system、WindowsNT/2000/XPではc:\WinNT\system32)に"GONE.SCR"のファイル名で自身のコピーを作成します。"GONE.SCR"は隠し属性で作成されますのでWindowsの設定によっては存在が表示されません。 そしてWindowsのレジストリに以下の値を作成します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:<システムフォルダのパス>\gone.scr = <システムフォルダのパス>\gone.scr
これにより、Windows起動時にワームが自動実行されるように設定されます。
また、Windowsのシステムファイルである"Wininit.ini"に最初に実行された自身のファイルを削除する記述を追加します。これによって次回Windows起動時に最初に実行されたワームのファイルは削除され、なくなってしまいます。
2)ワーム活動(マスメイリング):
ワームは自身のコピーを添付したe-mailを任意のアドレスに送信します。ワームはOutlookの設定とWindowsのMAPI機能を利用してメールを送信します。Outlookで有効なe-mailの設定が行われていない、もしくはOutlookがインストールされていない環境ではワームはe-mail送信が行えません。ワームはWindowsのアドレス帳に登録されているすべてのアドレスに対してe-mail送信を試みます。ワームは送信したe-mailを送信後にすべて削除してしまうのでOutlookの送信済みボックスなどに残ることはありません。
3)ワーム活動(ICQ):
ワームはインターネット上のチャットソフトであるICQのメッセージにも自身のコピーを添付して頒布させます。ICQの機能を利用し、接続中のユーザーにワームファイルを添付したメッセージを送信します。
4)DDoSツール活動:
ワームはインターネット上のチャットソフトである「mIRC」をDDoSツールとして利用できるように設定します。ワームは「mIRC」の設定ファイルである"remote.ini"を作成し、「mIRC」の設定ファイルである"MIRC.INI"を改変してmIRC使用時に"remote.ini"の内容が実行させれるようにします。これによってウイルス作者は感染マシンでランダムな名前のダミーユーザーを作成して参加中のIRCチャンネルとそのチャンネルに参加中の全ユーザーに対して大量のデータを送信してネットワークを混乱させるDoS攻撃を行わせることができるようになります。
● 「WORM_GONE.A」自動修復ツール
現在準備中です。ご提供可能になり次第、下記URLにてご紹介します。
● ウイルスに関する詳細は下記URLよりご覧ください
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_GONE.A
● 現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、「オンラインスキャン」にてコンピュータのウイルスチェックを実行し、 検出した場合、手動にて駆除してください。
「オンラインスキャン」URL: http://www.trendmicro.co.jp/hcall/index.asp
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
