ウイルス情報

ウイルス名

W32/Goner@MM

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4174
対応定義ファイル
(現在必要とされるバージョン)
4346 (現在7652)
対応エンジン 4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Goner (AVP), W32.Goner.A@mm (NAV), W32/Goner-A (Sophos), W32/Goner.A@mm (Panda), Win32.Goner.A@mm (AVX)
情報掲載日 01/12/05
発見日(米国日付) 01/12/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

TOPへ戻る

ウイルスの特徴

W32/Gonerはメール大量送信型ウイルスです。Outlookアドレス帳の中のすべての宛先にウイルス・メールを送ろうとします。またセキュリティソフトの消去を行おうとします。さらにICQやIRC botスクリプトを使った繁殖も行います。ウイルス・メールの内容は以下のようになります。

件名Hi
本文 How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
添付ファイルGONE.SCR

この添付ファイルを実行した場合、ローカルシステムがウイルスに感染します。

添付ファイル実行時には以下のような'About'メッセージボックスが表示されます。

しばらくすると'Error'というタイトルのメッセージボックスが表示されます。

さらに%WinDir%フォルダのシステムに自分自身の複製をコピーします。そしてレジストリを以下のように書き換えて、Windows起動時にそのコピーが起動されるようにします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\C:\%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR%\SYSTEM\gone.scr

Windows 9x/MEでは、以下のプロセスをメモリ内で検索します。プロセスが見つかった場合はそれを停止し、さらにそのプロセスに当る実行ファイルが存在するディレクトリ(およびそのサブディレクトリ)の中の全てのファイルを削除します。この活動が失敗した場合は、WININIT.INIファイルを作成して、次回のWindows起動時にそれらのファイルを消去しようとする場合があります。

APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallICON.EXE
FRW.EXE
VSHWIN32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

このウイルスはWindows SYSTEMディレクトリにICQMAPI.DLLをコピーして、ICQユーザーに自分自身を送付しようとします。DLL呼び出しにより、オンライン状態のICQコンタクト先にウイルスが送付されます。このウイルスは、REMOTE32.INIというファイルを作成し、さらにそれを使うために、mIRCのSCRIPT.INIを改変します。これによりmIRCクライアントがIRC botになります。これにより同じチャンネルに接続しているリモートIRCユーザーからのDDoS攻撃を開始する命令を受け取れるようになります。

このウイルスは、Outlookアドレス帳のすべての宛先に、プレーン・テキスト形式を使って、自分自身を送付します。したがってユーザーが、メールを開いた場合に、「自動的に」添付ファイルが実行されることはありません。プレビューを使っていた場合も同様です。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

TOPへ戻る

感染方法

TOPへ戻る