Worm/Goner

Bei dem  Worm/Goner handelt es sich um einen Massen Mailer mit einer Größe von 38.912 Bytes, der in Visual Basic programmiert wurde. Er versendet sich als Email über Outlook und infiziert andere Computer mit Hilfe des ICQ Instant Messanger. Eine vom Worm/Goner versendete Email hat folgenden Inhalt:

Subject: Hi
Body:  How are you?

When I saw this screen saver, I immediately thougt about you
I am in a harry, I promise you will love it!

Attachment: Gone.scr

 

Wir das Attachment ausgeführt, erscheint auf dem Bildschirm eine Dialogbox (Bild 1) mit Grüßen und einer kleinen Animation. Darauf erscheint eine Messagebox (Bild 2) mit folgender falschen Meldung:

Error While Analyze DirectX!


Bild 1


Bild 2

Worm/Goner kopiert sich als GONE.SCR in das Systemverzeichnis von Windows (normalerweise C:\WINDOWS\SYSTEM\) und fügt den folgenden Key in Registry ein, damit er bei jedem Windowsstart ausgeführt wird:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“C:\\WINDOWS\\SYSTEM\\GONE.SCR“=“C:\WINDOWS\SYSTEM\GONE.SCR“

Der Wurm führt sich als Service Prozess aus und ist somit nicht im Task Manager zu sehen.

Worm/Goner versendet sich selbst auch über ICQ mit Hilfe der Standart ICQ Komponenten. Er sendet einen Antrag zur Dateiübermittlung an einen User, mit dem der infizierte Rechner Kontakt hat. Erlaubt der User den Download, versendet sich der Wurm.

Ist der Wurm aktiv, werden folgende Prozesse beendet und die Dateien gelöscht. Sollte das Löschen der Dateien fehlschlagen, werden sie mit Hilfe der WININIT.INI beim nächsten Windowsstart gelöscht:

APLICA32.EXE
ZONEALARM.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
TDS2-98.EXE
TDS2-NT.EXE
ACINET32.EXE
PCFWallIcon.EXE
VPCC.EXE
VPM.EXE
AVPM.EXE
AVP32.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
ESAFE.EXE
CFIADMIN.EXE
SCIAUDIT.EXE
FRW.EXE
VSHWIN32.EXE
SAFEWEB.EXE

  weitere Virenbeschreibungen
  Virenkunde