5 grudnia 2001

I-Worm.Goner - usuwa pliki programów antywirusowych

Jest to robak rozprzestrzeniający się poprzez Internet w postaci zainfekowanego pliku załączonego do wiadomości e-mail, jak również poprzez internetowy komunikator ICQ. Robak atakuje koniem trojańskim kanał IRC i ukrywa się przed programami antywirusowymi.

Wirus został napisany w języku programowania VisualBasic i ma postać pliku PE EXE o rozmiarze około 38 KB.

Wysyłane przez robaka zainfekowane wiadomości wyglądają następująco:

Temat: Hi Załączony plik: gone.scr

Treść:

How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik kliknie na załączniku. Następnie szkodnik instaluje się w systemie, uruchamia procedurę rozprzestrzeniającą i funkcję dodatkową. Robak wyświetla na ekranie animowane okno zawierające następujący tekst:

oraz informację o błędzie zawierającą tekst: Error While Analyze DirectX!

Instalacja

Podczas instalowania się robak kopiuje swoją kopię (GONE.SCR) do systemowego katalogu Windows i tworzy dla niej klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
C:\WINDOWS\SYSTEM\GONE.SCR =
C:\WINDOWS\SYSTEM\GONE.SCR

Następnie robak ukrywa swoje główne okno i kontynuuje rozprzestrzenianie się.

Rozprzestrzenianie poprzez e-mail

Robak wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook.

Rozprzestrzenianie poprzez ICQ

Robak może się także rozprzestrzeniać przy użyciu klienta ICQ. W tym celu szkodnik kopiuje bibliotekę ICQMAPI.DLL z katalogu C:\PROGRAM FILES\ICQ\ do systemowego folderu Windows. Robak wysyła swoją kopię do wszystkich użytkowników, których status to "on-line".

Atakowanie kanałów IRC

Szkodnik skanuje wszystkie katalogi lokalnych dysków w poszukiwaniu pliku MIRC.INI. Jeżeli zostanie on odnaleziony wirus tworzy nowy plik REMOTE32.INI i dodaje go do MIRC.INI. Plik REMOTE32.INI jest skryptem, który przyłącza użytkownika o losowej nazwie do kanału #pentagonex znajdującego się na serwerze twisted.ma.us.dal.net.

Ochrona przed programami antywirusowymi

Podczas instalowania się w systemie robak skanuje uruchomione procesy i porównuje ich nazwy z poniższymi:

FINET.EXE, APLICA32.EXE, ZONEALARM.EXE, ESAFE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, PCFWallIcon.EXE, FRW.EXE, VSHWIN32.EXE, VSECOMR.EXE, WEBSCANX.EXE, AVCONSOL.EXE, VSSTAT.EXE, NAVAPW32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, LOCKDOWN2000.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE, C:\SAFEWEB\

Jeżeli nazwa uruchomionego procesu znajduje się na powyższej liście robak zatrzymuje go i usuwa z dysku wszystkie jego pliki. Jeżeli pliki te są zablokowane przez system operacyjny i nie można ich usunąć wirus dodaje do pliku WININIT.INI komendy, które "zajmują" się nimi podczas kolejnego uruchamiania systemu operacyjnego.

Aby pozbyć się wirusa z systemu można użyć darmowego narzędzia udostępnionego przez firmę Kaspersky Lab. Program CLRAV usuwa wszystkie pliki zawierające robaka i przywraca prawidłową postać rejestru systemowego. Narzędzie CLRAV umożliwia także usunięcie z systemu trzech innych wirusów: "SirCam", "Navidad" oraz "Blebla.b".

  • clrav.com (52 KB) pobierz darmowy program czyszczący komputer po infekcji robaka internetowego Goner.