対策ソフトを削除する「Goner」ウイルス出現，すぐにデータ・ファイルの更新を

勝村幸博

2001.12.05

　アンチウイルス・ベンダー各社は12月5日，新種ウイルス「Goner（あるいはGONE）」を警告した。電子メールやICQ ^*1 のメッセージに添付して送られてくる「GONE.SCR」ファイルを実行すると，アドレス帳やICQのリストに登録されているすべてのユーザーにウイルス自身を送信する。併せて，ウイルス対策ソフトやパーソナル・ファイアウオールなどを削除する。

*1 インスタント・メッセージング・ソフトの一種。

各ベンダーは日本時間12月5日の早朝に対応

　各ベンダーのウイルス対策ソフトのデータ・ファイル ^*2 が対応したのは，日本時間では12月5日早朝である。そのため，早急に更新して，検出できるようにしておく必要がある。なお，添付ファイルを実行しない限り，被害を受けない。

*2 ウイルス対策ソフトが，ウイルス検出に使用するデータベース・ファイルのこと。「パターン・ファイル」，「ウイルス定義ファイル」，「DATファイル」などと，ベンダーによって名称が異なる。

　ワールドワイドで，日本ネットワークアソシエイツには500件以上，シマンテックには464件，トレンドマイクロには125件の感染報告が寄せられている。日本でも報告されているものの，それほど多くはないのが現状であるが，海外同様，国内での感染拡大が予想されるため，および，発病挙動が多彩かつ“凶悪”であるために，警告を発している。

多彩な発病挙動，ウイルス対策ソフトの削除も

　単独の実行形式ファイル「GONE.SCR」として送られてくる同ウイルスを実行してしまうと，（1）ウイルス自身をメールに添付して送信，（2）ICQを使って，ウイルス自身を送信，（3）特定のウイルス対策ソフトやパーソナル・ファイアウオールのプログラムを削除，（4）インターネット・リレー・チャット用ソフト「mIRC」の設定を変更して，ユーザーが参加したチャンネルへDoS攻撃，（5）コンピュータを起動するたびにウイルス・ファイルが実行されるように，レジストリを変更---といった発病挙動を示す。発見されたのが，米国時間12月4日であるため，アンチウイルス・ベンダー各社は，現在も詳細を解析中であるという。なお，「GONE.SCR」は“隠しファイル”属性に設定されているので，デフォルト設定ではWindows上に表示されない。

　（1）のメール送信については，Outlook をインストールしていない場合には発生しない。これは，ウイルスの送信にOutlookを使用するためである。GonerウイルスはMAPI（Message API）を通じて，Outlookにウイルス添付ファイルを送信するよう命令を送る。そして，送信したことを分からなくするために，送信後は「送信済みトレイ」から，それらに対応するメールを削除させる。

　（2）のICQによる送信については，リストに登録されているユーザーすべてに，Gonerのウイルス・ファイル「GONE.SCR」を送信する。シマンテックの情報によれば，ICQの通知機能をすべて無効にしてから，ウイルスを送信するという。そして，送信後には有効な状態に戻す。これにより，感染マシンのユーザーにばれることなく，ウイルスを送信できる。

　（3）のファイル削除は，OutlookやICQをインストールしていない環境でも起こる。主なウイルス対策ソフトや「ZoneAlarm」などのセキュリティ・ソフトの実行形式ファイルを探し出して削除する。ソフトが実行されている場合には，そのプロセスも終了させる。また，ファイルが使用中で削除できないような場合には，マシンが次回起動された際にそれらを削除するようなファイル「Wininit.ini」を作成する。

　なお，削除されるファイルの具体名については，アンチウイルス・ベンダー各社が公開している情報を参照してほしい。

　（4）のように，mIRC も悪用する。同ソフトの設定ファイルを改変することで，感染マシンのユーザーがIRCチャンネルに接続した際に，そのチャンネルと参加中の全ユーザーに対して大量のデータを送信するようにする。

　また，（5）のために，ウイルスに感染した場合には，ウイルス・ファイルを削除するだけではなく，レジストリを元に戻す必要がある。具体的な復元方法については，アンチウイルス・ベンダー各社の情報を参考にしてほしい。