goner

Goner

こいつはけっこう恐い。なんといっても感染力がですけど

メールorICQで"GONE.SCR"が届く
↓
"GONE.SCR"を実行すると感染
↓
Outlookで"GONE.SCR"付きメールをアドレス帳全員へ送信
↓
レジストリを書き換えて起動時に常駐するように設定
↓
各種アンチウイルスソフトを削除
↓
ICQが起動していたならコンタクトリストでオンラインの人へ"GONE.SCR"を送信
↓
mIRCというソフトがあればDoS攻撃を行うスクリプトファイルを作成

という動きをします
だから、拡張子exeファイルに感染したり、勝手にCドライブをフォーマットしたり、
そういう破壊活動はしません

ZDNN：速報：Gonerウイルスに各社が警戒呼び掛け http://www.zdnet.co.jp/news/bursts/0112/05/07.html
CNET Japan Tech News：CNET Japan発：『Goner』にウイルス駆除ソフトメーカーが警告 http://cnet.sphere.ne.jp/News/Infostand/Item/2001-1205-J-5.html
トレンドマイクロのウイルス情報（簡潔でわかりやすい）
http://www.trendmicro.co.jp/virusinfo
シマンテックのW32.Goner.A@mm情報（非常に詳細）
http://www.symantec.co.jp/region/jp/sarcj

まぁ上記の情報を総合すると、不注意な人でない限り感染しないと思います
しかし感染すると非常に厄介です。感染経路はメールとICQです。
メールの場合、以下の件名と本文、そして添付ファイルがくっついたのが届きます

>件名："Hi"
>メール本文：
>"How are you ?
> When I saw this screensaver, I immediately
> thought about you
> I am in a harry, I promise you will love it!"
>添付ファイル名："GONE.SCR"
（約38KBに圧縮されている）

今回のはNimdaやBadtrans.Bとは違って、
OutlookやOutlookExpressで見たりプレビューしたりしただけでは感染しません
だから、どんなメールソフトを使っていようが関係なしに、
この"GONE.SCR"とかいうファイルを実行しなければ大丈夫です。
ICQの場合は、コンタクトリストに登録されている人から"GONE.SCR"が届きます。
あなたの友達からICQで"GONE.SCR"が届いても実行しないこと。

で、ぼーっとしている間に、密かにOutlookの設定とWindowsのMAPI機能を利用して、
アドレス帳に登録されているすべての人に上記と同じメールを送信してくれます、
大量に。賢いことに送信したらちゃんと削除するので、送信済みをいくら探しても何もないので
感染した事に気付きにくい
また、以下のような仕組みで、毎回Windowsの起動時に一緒に起動してくれます
しかも、サービスとして常駐するので、Ctrl+Alt+Delでは見えません
Windowsのシステムフォルダ、 Windows9x/Meのデフォルトでは c:\Windows\system
WindowsNT/2000/XPではc:\WinNT\system32
そこに"GONE.SCR"というファイル名でコピーを作成します。
しかも隠し属性で作成されるのでWindowsの設定によっては表示されません。
Windowsのレジストリに以下の値を作成することで起動時に毎回起動するようにしてしまいます。

場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値：＜システムフォルダのパス＞\gone.scr = ＜システムフォルダのパス＞\gone.scr

また、Windowsのシステムファイルである"Wininit.ini"に最初に実行された
自分自身のファイルを削除する記述を追加することで、
次回Windows起動時に最初に実行された"GONE.SCR"は削除されます（賢い）
こうやってWin起動時に一緒に起動するように勝手にレジストリを書き換えると同時に、
アンチウイルスソフトやワクチンソフトなどの「ウイルスの敵」を抹殺しにかかります
抹殺対象は以下のファイル（起動していて削除できなければ、次回起動時に削除する）
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVAPW32.EXE
NAVW32.EXE
PCFWallIcon.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
ZONEALARM.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE

NortonAntiVirus、MaCafeeVirusScan、ウイルスバスター、ZoneAlarmなどなど、
ファイアウォール関連まで削除します（たまに失敗するらしいが）
そして次にICQを使って感染するために準備を始めます。
ICQがインストールされている場合、ICQ.dllファイルのバージョンを調べて、
利用できるバージョンであれば、次のステップへと進みます。
おそらく ICQ98以上のバージョン全部と思われます
まず通知機能をOFFにして、あなたに気づかれないようにします
そして現在あなたのコンタクトリストに入っていてさらにオンライン状態にある人へ、
"GONE.SCR"を送りつけます。
送りつけた後に、きちんと通知機能を元に戻します
日本人では使っている人は少ないですが、mIRCというIRCチャットソフトがあると、
DoS攻撃できるようにするスクリプトファイルを置いてくれます

駆除ツールはこちら。 W32.Goner.A@mm駆除ツール http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.goner.a%40mm.removal.tool.html