WORM_GONE.A

新種のウイルス。

トレンドマイクロより抜粋

これはOutlookのメールとICQのメッセージを利用して自身のコピーを頒布する
ワーム型不正プログラムです。
VisualBasicで作成された
ものと考えられます。

全文
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_GONE.A

プレビューだけで感染は今回はないよね?
つーかネスケだから関係ないけど

ウィルスバスター2002がインストールできないんですが・・・（汗）
原因はZone Lapsです。
手動で消しても、どっかにカスが残ってるらしい・・・
どこにのこってるんだろうか・・・
わかる人教えてもらえませんか？

今早朝USからもう来てたんで
今サーバーの掃除中

Sophos Alert System から EMERGENCY ALERT: New W32/Goner-A worm spreading widely が来てた。
Sophos がこの種のメールを出すのは珍しいので、かなりの規模で感染が拡大している証拠。

これって、パターンまだ？
俺も１７３だけど、対応は１７７からになってる。

>>3
http://members.tripod.co.jp/eazyfox/Firewall/Zonelabs/Firewall_ZL4.html
下のほうになんか書いてある

スマンZone Lapsか(ﾜﾗ

http://www.nai.com/japan/virusinfo/virG.asp?v=W32/Goner@MM
>このワームはWindows SYSTEMディレクトリにICQMAPI.DLLをコピーして、
>ICQユーザーに自分自身を送付しようとします。
>DLL呼び出しにより、オンライン状態のICQコンタクト先にワームが送付されます。

ICQ使いなのでこの記述が気になってるんですけど。
ファイル転送を拒否すればよいのでしょうか？

なんか凄そう

出先の会社で作業中に
「ウィルスバスターを破壊するウィルスが検出された」
と館内放送が入ったけど、なんかこれっぽいね。

おいらアメリカでシステムメンテやっているけどどんな添付物も
開けてしまうやつが居る。おかげで勉強になるが。

ばっどＢをプレビューで開けた時は何も言えんかったが今回はどやしつけた。
メールにはあんたがお気に入りのスクリーンセイバー送るとでたが
どんなやつを期待した事やら。
でもそんなに感染力強いかな？。

どのワクチンベンダーの情報も「危険度高」になってるね。
あとワクチンソフト消しちゃうとも書いてあった。
「これってウィルスなの？」なんて言ってる人は大ピンチ？

これはプレビューしただけで感染とかは無いみたいだから
気をつけてりゃ大丈夫でしょ。
でも安易に添付ファイルを実行しちゃう奴って結構多いんだなあと
Badtransの件を見てて思った。

Badtransに感染してワームがどんな物か理解してくれてたらいいけど。
全然わかってなくてその場しのぎで駆除だけやってたら・・・（鬱

トレンドマイクロのページが500（内部エラー）で見れなかったんで、
こっちのアドレスを張ってみる。
http://www.symantec.com/region/jp/sarcj/data/w/w32.goner.a%40mm.html

こっちのも載ってたんで一応貼っとくよー。

http://www.nai.com/japan/virusinfo/virG.asp?v=W32/Goner@MM

とりあえず、「わけのわからん英語のメールが来たら、添付ファイルは
実行すな」ってまわりに言っておこう…

＞18
いちおうこんなかんじらしい

> 件名：Hi
> 本文：How are you ?
> When I saw this screen saver , I immediately thought about you
> I am in a harry , I promise you will love it !
> 添付ファイル：gone.scr , goner.scr

Outlookユーザー（NOT OE）は電子メールセキュリティ機能が
追加されているかどうか確認しる。

Outlook2000のパッチ
http://office.microsoft.com/japan/downloads/2000/Out2ksec.aspx

WORM_GONEってにっさんのしゃちょうかい？

すいません、ﾏｼﾞでわからないんで教えてください

シマンテックのページに
「このワームはMicrosoft Outlookを使った電子メールだけでなく、
ICQネットワークを介しても感染を拡大するおそれがあります。」
とあったんですが、OEも感染するんですか？
注意が必要なのは OutlookとICQ 使用者だけ？？？

>>22
書いてあること以上のことは専門家以外にはわからないと思われ。
その２つに加えてmIRCも利用されるので注意。

>>22
OEだろうが何だろうが、ファイルを実行すれば感染する。

そういうことか…
バカの発想はわからん

トレンドマイクロとシマンテックのソフト使用者は、最新のパターン
ファイル／定義ファイルで対応済みなのでダウンロードしる。

http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_GONE.A

トレンドマイクロ、見れるようになってたYO！

>>17のリンク先に
＞Outlookアドレス帳の中のすべての宛先にウイルス・メールを送ろうとします
てあるんだけどOutlook以外のメーラーでも送信しちゃうのかな？
おれOEもOutlookも使ってないんで良くわからん？

>>27
中身がどう見てもBadtrans.Bなんだけど…

>>29
勘違いしてた。下半分がGONEだったのね。
早とちりだった。

>>27
書いてあった。ありがと

駆除ツール

http://www.symantec.com/region/jp/sarcj/data/w/w32.goner.a%40mm.removal.tool.html

いや、トレンドマイクロのページ>>27って、見るたびに
内容変わってる・・・へんなの・・・
私がさっき見たのと今じゃパターンが違う〜〜

>>33
うわ、今トレンドのサイト見たらページがGONEの内容だけに
なってる…

どうなってんだろ。

Zdnetの記事より
http://www.zdnet.co.jp/news/0112/05/e_goner.html

Pentagonの略らしい

みなさん、>24さんが書いたこと、肝に銘じてくださいな。
やばいっすよー。
スクリーンセーバーだから、ウィルスは「.exe」と思い込んでる人、
間違って開いちゃわないでくださいよー。

さっき、某MLで流れてたのを拾ってきた。
テキストにセーブしてからデコードして遊ぼうとしたら、
AVGに叱られた（ｗ　しかたなく、ｐｄｆで保存。

ＩＣＱ、ファイルを受信しなければ大丈夫でしょうか。
知り合いに質問飛ばしているんですが、返事がなくて不安です・・・。

とりあえず見やすい位置にage

>>38
知り合い死んでんじゃないの?

まだ情報が錯綜しているような気が。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.goner.a%40mm.html
では、「Windows NT/2000/XPでは、タスクマネージャでプロセスを止めろ」と書いてあるが、
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_GONE.A
では、「ワームのプロセスはサービスとして常駐するのでAlt-Ctrl-Delのタスクマネージャ
ではワームのプロセスが表示されません。 」となっている。さて、どちらの勝ちかな？

さっき同じやつから３件もきたよ
バカだから気付かないのかな？

>41
同業他社のホームページを調べてみました。
sophos 社、Network Associates 社の情報は、シマンテック社と同じですわ。

Sophos 社
http://www.sophos.co.jp/support/w32gonera.html
Network Associates 社
http://www.nai.com/japan/pqa/aMcAfeevinfo.asp?ancQno=VR01120601&ancProd=McAfeevinfo

Badtransは嫌というほど来たけど、こいつはまだ来ないな。
>>42
送信者のメーラーはやっぱりOutlookかい。
どのくらいの間隔で送信してる？

>>44　たぶんOutlook
送信は５分おきに３件
これってメールを３つ開いたってこと？

http://dr.st88.arena.ne.jp/cgi-bin/amezoline/headline2.cgi?mode=last&s=0&e=9で発見

以下のページがまとめてるが、

http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000694.htm

>簡潔に書くと、
>
>メールorICQで"GONE.SCR"が届く
>↓
>"GONE.SCR"を実行すると感染
>↓
>Outlookで"GONE.SCR"付きメールをアドレス帳全員へ送信
>↓
>レジストリを書き換えて起動時に常駐するように設定
>↓
>各種アンチウイルスソフトを削除
>↓
>ICQが起動していたならコンタクトリストでオンラインの人へ"GONE.SCR"を送信
>↓
>mIRCというソフトがあればDoS攻撃を行うスクリプトファイルを作成
>
>ということです。
>だから、拡張子exeファイルに感染したり、勝手にCドライブをフォーマットしたり、
>そういう破壊活動はしません…

こういうことか？

>>46
今回のは「プレビューしただけで感染」とかではなく、ユーザが自ら
ダブルクリックした場合のみ感染くさいですな。
こんだけいろんな病気が流行ってるのに、感染する人がいるんだろうなぁ（ﾀﾒｲｷ

>>47
THANX、了解〜

>>36
スクリーンセーバーが*.exeで出来ること全て出来ると言うことを
知らない人も多いと思われる。

ところで、このウィルスって
なんと呼ぶの？。
ごなー、ごーん　ｏｒ　まさか　モナ？

皆さんは届いてないの？

>>50
そりゃ日産のGONE社長て書いてあった。

>>50
「ゴナー」だそうです。
モナ板の人にお願いしたら、AAが出来そうな名前…

ＧＯＮＥＲとＧＯＮＥがあるよ

>42
漏れは５日の朝に来た。ウィルスチェックしても引っかからなかったから、
大丈夫なのかなぁ、とかすかに思いもしたが、発信元もあまり心当り
もなく文面がいかにもウィルスっぽかった（とにかくファイルを開かせ
ようとする＋別に自分宛じゃなくても通用する文面）ので開けなかった。
アイコンもなんだか不気味な絵だったし．．．

するとほどなくしてこのウィルスの情報を聞いて「ああ、やっぱり」って
なったけど、警戒心が薄かったり、頻繁にやり取りしている相手からポン
って届くとやっぱり開く人は開いちゃうんだろうね。

age

>>42
＞さっき同じやつから３件もきたよ
＞バカだから気付かないのかな？

普段の、そいつに対する行いの結果なんでは？（え

Gone.W32 はバスターのファイル削除活動はしないよ >>11
感染→駆除の後、ノートンとかは再インストール必要だけど、バスターは
駆除して終了。 バスターは相手にされてないってこと？
それとも 国内版と海外版でファイル名が違うの？

>>41
トレンドマイクロの説明は9x系のものと思われ

windowsの重要な更新とアンチヴィールスの両方更新しないと
だめだーよ。

>>57
>普段の、そいつに対する行いの結果なんでは？（え

知らないやつから送られたんだよ。
知りあいなら協力してるよ。

緊急上げ。
ＨＰ管理人さん達は早めにこの情報を広めてくれ！
ついでに2ｃｈでもでかでかと書き出して欲しい。

>>62
なんで緊急？
蔓延し始めた？？？

また来た・・・・
ａ○ｍｉｎからだったよ（鬱

>>63
蔓延し始めるかし始めないかのギリギリではないかと思う。
と言うか蔓延する前に正し知識を広めとかんと。
最新の定義ファイルでないと検出できないらしいし。

まだ来てないなぁ。

来ないぞ−！
早くこないかな〜

>>58
http://www.symantec.com/region/jp/sarcj/data/w/w32.goner.a%40mm.htmlにある
破壊するファイルのリストにはバスター関連は入ってないのかな、AVPやZone
alarmなんかも対象になってるみたいだけど。

ゴナーは　起動したら
あやしげな　黒窓がでるんじゃなかったっけ？
それが　感染の証になるのでは？

サントリーが感染しましたよー

ゴナーに対抗して２ちゃんから
moner ウィルス発信キボンヌ

　　　┏━━━━━━━━━━━┓
　　　┃ 　　　　　　　　∧ ∧　　　　┃
　　　┃ 　　〜′￣￣( ﾟДﾟ)　　　　┃
　　　┃ 　　　UU￣￣　U U　　　　 ┃
　　　┃■虫を駆逐せよ！■┃
　　　┗━━━━━━━━━━━┛

　　　　　　　　　　　　＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　　／
　　 （　´∀｀）　＜　ノートン先生でオールオケイ！
　　 （　　目 つ　　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　┏━┻━┓
　　┃OMAE ┃
　　┃MONA ┃
　　┗━━━┛　　　　　　＼おおー！さすがモナー大統領！！／
　　　　　　　　　　　　　∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧∧＿∧
　　　　　　　　　　　　 （　　　　）　　　 （　　　　 ）　　　（　　　　）　　　 （　　　　）
　　　　　　　　　　　　∧＿∧∧＿∧∧＿∧ ∧＿∧∧＿∧∧＿∧∧＿∧ ∧＿∧
　　　　　　　　　　　 （　　　　）　　　 （　　　　）　　　 （　　　　）　　　 （　　　　）　　　　）

Pentagone
Doraemone

重要情報age

age

私のところにもようやく来たのですが、のートン先生は事前に添付ファイルを削除してくれました。
さすがですな。

ノルトン先生は、害虫の駆除は上手いけれど
ユーティリティは何故あんなにも糞なんだろう・・・

>77
禿同。ノルトン先生はちょっぴし不親切だと思う。

ところで
「Gonerワームの作者はイスラエルの高校生」
http://www.zdnet.co.jp/news/0112/11/e_goner.html

ガイシュツだったらスマソ。

このウィルスの感染報告は
まだ　聞きますか？

アンチウィルスバスターとは
皮肉なウィルス