|
Achtung: Neuer Wurm unterwegs
Name: Goner
Typ: Wurm
Alias: W32/Gone.A@mm , I-Worm.Goner , Gone , Pentagone
Goner ist ein in Visual Basic geschriebener Mass-Mailer, der am 04.12.01 gefunden wurde. Der Wurm ist komprimiert ca. 39 KB gross.
Der Wurm verbreitet sich über Outlook und ICQ. Es werden auch Scripts für IRC erzeugt, mit denen bestimmte IRC-Kanäle überflutet werden können.
Wenn der Wurm ausgeführt wird, wird ein Dialog angezeigt, der die eigentliche Aufgabe verschleiern soll. Dann wird eine Fehlermeldung angezeigt: Error While Analyze DirectX!
Der Wurm kopiert sich als GONE.SCR in das Windows-System-Verzeichnis und versucht, seinen Start in der Registry einzutragen. Der Wurm läuft als Dienst, so dass er im Task-Manager nicht sichtbar ist.
Um sich zu verbreiten, sendet er sich an alle Adressen im Outlook Adressbuch mit einer Mail mit dem Betreff "Hi" und folgendem Text:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
Angehängt ist die Datei Gone.scr.
Der Wurm beendet folgende Prozesse, falls aktiv:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Er versucht auch, diese Dateien zu löschen, wenn sie nicht aus dem Windows-System-Verzeichnis gestartet wurden. Wenn das Löschen fehlschlägt, erzeugt er WININIT.INI, das das Löschen beim nächsten Neustart ausführen soll. Ausserdem wird versucht, das Verzeichnis C:\SAFEWEB\ zu löschen.
==============================================
Empfehlung: Sobald Virendefinitionen bereitgestellt sind diese installieren und äusserste Vorsicht.
|