最新アップデート:Goner.Aワームは一日で 100,000台に感染 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.24(水)

最新アップデート:Goner.Aワームは一日で 100,000台に感染

国際 海外情報

概要:
 Goner.A という大量メール送り付け型のワームが、ヨーロッパ(特に英国)及び米国を中心に、25ヶ国 で 100,000台のコンピューターに感染した。このワームは、下記メール内容で到着する。

Subject: Hi
本文: How are you ?
When I saw this screen saver, I immediately thought
about you
I am in a harry, I promise you will love it!
添付ファイル: gone.scr

 gone.scrは、約 39KBのファイルとして到着するが、このファイルを実行すると下記テキストを含んだアニメーションが表示される:
pentagone

coded by: suid

texted by: ThE_SKuLL and |satan|

greetings to: TraceWar. k9_unit, stef16
^Reno

greetings also to nonick2 out
there where ever you are

 上記アニメーションが表示された後、下記テキストを含んだ偽のエラーメッセージが表示される。

Error While Analyze DirectX!

 その後、gone.scrは自身を Windows Systems folderにコピーする。また、Windows起動時に自身が実行されるようレジストリを変更し、Windowsのタスクマネジャーに検知されないよう、サービス処理としての実行を試みる。更に、Goner.Aは、Microsoft社の Outlookのアドレス帳を利用し、メールでの繁殖を試みる。

 Goner.Aは、他にも ICQのインスタント・メッセージングソフト経由で感染を試みる。方法として、同ソフトのアプリケーションプログラムインターフェースを利用し、他のオンラインユーザーに自身のコピーを送りつける。具体的には、ICQが稼動している場合、Goner.Aは継続的にオンラインユーザーリストをモニターし、定期的にそれらユーザーに感染ファイルを送りつける。本ワームは、ICQでの自身の活動を隠すため、新しく登場するダイアログ・ボックスを常にモニターし、そのうち ICQシステムメッセージは全て消してしまう。

 Goner.Aはインターネットリレーチャット(IRC)経由でも感染する。感染手順として、IRCが実行されるたびに、スクリプトが実行されるよう、REMOTE.INIまたは REMOTE32.INIというファイルを作成する。また、上記いずれかの INIファイルが必ず実行されるように、MIRC.INIの初期化ファイルを変更する。このことにより、REMOTE.INIをバックドアとして利用したリモート攻撃者によるサービス妨害(DoS)攻撃が可能となってしまう。具体的には、感染されたコンピューターと同じ IRCチャンネル上に、ランダムな名前を持った複数のクローンユーザーを作り上げることによって、チャンネルをパンクさせてしまう。また、Goner.Aは twisted.ma.us.dal.net のサーバーの #pentagonexというチャンネルに接続を試みるケースがあるようだ。

 更に Goner.Aは、検知・削除を免れるため、感染したコンピューターから下記ファイル(カッコ内は対応するアプリケーション名)の停止・削除を試みる。


・_AVP32.EXE (Kaspersky Anti-Virus AVP)
・_AVPCC.EXE (Kaspersky Anti-Virus AVP)
・_AVPM.EXE (Kaspersky Anti-Virus AVP)
・APLICA32.EXE (Unknown)
・AVCONSOL.EXE (McAfee AV Console - Part of TVD 4.50/4.51)
・AVP.EXE (Kaspersky Anti-Virus AVP)
・AVP32.EXE (Kaspersky Anti-Virus AVP)
・AVPCC.EXE (Kaspersky Anti-Virus AVP)
・AVPM.EXE (Kaspersky Anti-Virus AVP)
・CFIADMIN.EXE (Unknown)
・CFIAUDIT.EXE (Unknown)
・CFINET32.EXE (Unknown)
・ESAFE.EXE (eSafe anti-virus)
・FRW.EXE (ConSeal PC Firewall)
・IAMAPP.EXE (Norton Personal Firewall)
・IAMSERV.EXE (Norton Personal Firewall)
・ICLOAD95.EXE (Sophos Sweep)
・ICLOADNT.EXE (Sophos Sweep)
・ICMON.EXE (Sophos Sweep)
・ICSUPP95.EXE (Sophos Sweep)
・ICSUPPNT.EXE (Sophos Sweep)
・LOCKDOWN2000.EXE (Lockdown Anti-Trojan)
・NAVAPW32.EXE (Norton AntiVirus)
・NAVW32.EXE (Norton AntiVirus)
・PCFWallIcon.EXE (McAfee's PCFirewall)
・PW32.EXE (Unknown)
・SAFEWEB.EXE (Safeweb Privacy Software)
・TDS2-98.EXE (Trojan Defense System)
・TDS2-NT.EXE (Trojan Defense System)
・VP32.EXE (Norton AntiVirus)
・VPCC.EXE (Unknown)
・VPM.EXE (Unknown)
・VSECOMR.EXE (McAfee VirusScan)
・VSHWIN32.EXE (McAfee VirusShield)
・VSSTAT.EXE (McAfee - Part of TVD 4.50/4.51)
・WEBSCANX.EXE (Trend Micro)
・ZONEALARM.EXE (ZoneAlarm)

 最初の試みで上記ファイルを停止・削除できなかった場合に備え、本ワームは Windows起動時にも上記ファイルが削除されるよう、WIN.INIも変更する。本ワームが削除できないファイルは、System folder内のファイルのみである。また、Goner.AはC:SAFEWEB directoryも削除してしまう。尚、Goner.Aは Visual Basic Script 6によって作成されているようだ。ワームそのものは、UPXのユーティリティソフトによって圧縮された .EXEファイルである。

別名:
 I-Worm.Goner, W32/Goner.A-mm, W32/Goner.A@mm, Gone, Pentagone, Pentagon

情報ソース:
iDEFENSE社 情報局, Dec. 04, 2001
F-Secure Corp. Dec. 04, 2001
http://www.f-secure.com/v-descs/goner.shtml
Trend Micro Inc. Dec. 04, 200
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GONE.A1
Symantec Corp. Dec. 04, 2001
http://www.symantec.com/avcenter/venc/data/w32.goner.a@mm.html
Network Associates Inc./McAfee.com Dec. 04, 2001
http://vil.mcafee.com/dispVirus.asp?virus_k=99272&
Central Command Inc., Dec. 04, 2001
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=011204-000006
MessageLabs Dec. 04, 2001
http://www.messagelabs.com/viruseye/
Kapersky Labs International Dec. 04, 2001
http://www.avp.ru/news.asp?tnews=1&nview=1&id=262&page=
Panda Software Dec. 04, 2001
http://www.pandasoftware.com

分析:
 24時間以内で、Goner.Aは25ヶ国以上にまたがる 100,000台以上のコンピューターに感染した。しかし、全ての主要アンチウィルスソフト会社は、Goner.Aを検知・削除する更新定義ファイルを作成中のため、本ワームの拡大範囲は 48時間以内、またはそれ以前にピークを迎えるだろう。Goner.Aは、既に増えつつあった Badtrans.Bの感染件数を上回っている。

 システム管理者及びセキュリティ管理者は、ユーザーに対して Goner.Aに対する注意を促し、gone.scrのファイルを含むメールを、ファイアウォールまたはメールサーバーでストップすることを勧める。

検知方法:
 上記のような画面が表示されたり、または gone.scr 及び REMOTE.INI のファイルがハードドライブに存在する場合、Goner.Aに感染された可能性がある。

リカバリー方法:
 下記方法で Goner.Aによる感染からリカバリーすることができる。
1.メール・ICQ・IRC経由のワーム感染を防止するため、感染されたコンピューターをインターネット、及びネットワークから切断する。
2.コンピューター内からワームが駆除されるまで、バックアップ/復元のユティリティ(例:Windows Meの一部として組み込まれている復元機能)を解除する。PCからワームが駆除され、通常モードで立ち上げた後、バックアップ/復元のユティリティを使用可能な状態に戻す。また、新たなバックアップ/復元ファイルを作成する。取り替えできないファイルは、感染の可能性があることが明確にわかるようにマークを付ける。
3.安全モード、もしくはクリーンなブートディスクからコンピューターを再起動する。コンピューターが全てのタイプのファイルを表示していることと、隠されたファイルがないことを確認する。
4.主要アンチウィルスベンダーから更新定義ファイルを入手し、コンピューターからワームを駆除する。
5.Goner.Aが駆除されているか再確認する。あるいは、Gone.scrの全コピーを手動で発見・削除する。同時に、Gone1.scr、Gone2.scrなどのファイルもないかチェックする。これらファイルは、Windows Systemディレクトリか Temp ディレクトリにある。
6.本ワームに関連するメールを、受信トレイ、送信トレイ、及び削除トレイから削除する。
7.REMOTE.INIまたは REMOTE32.INIファイルを削除する。また、MIRC.INIからは、前述の REMOTE.INI系ファイルを参照しているエントリーを削除する。
8.上記「概要」記載の各種 EXEファイルの削除を試みる WIN.INI内のエントリーを削除。
9.下記キーを Windowsレジストリから削除する:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun%System%gone.scr = %System%gone.scr
10.Goner.Aによって削除、あるいは削除をしかけられた次のファイルを復元する:AVP, ConSeal PC Firewall, LockDown2000, McAfee PCFirewall, McAfee VirusScan, Norton AntiVirus, eSafe Antivirus, SafeWeb, Sophos SWEEP, Trojan Defense System (TDS), Trend Micro anti-virus 及び ZoneAlarm
11.再感染を防止するため、上記作業を実施中、更新済のアンチウィルスソフトが間違いなく稼動していることを確認する。本ワームに感染されている可能性がある他の全てのメディア(フロッピーなど)にウィルスチェックをかける。

パッチ情報:
 ほとんどのアンチウィルスメーカーから更新定義ファイルが発行されている。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【02:20 GMT、12、05、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×