基本信息
病毒名稱:Win32.Goner.A.Worm
其它名稱:Win32/Goner.A , Win32.Goner.A@mm, W32/Goner.a@MM
具體介紹
蠕蟲郵件的主題為"Hi", 附屬檔案名為"gone.scr". 郵件的主體內容如下:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
一旦蠕蟲被激活,蠕蟲將顯示一個有關它來源的訊息框和一條錯誤訊息"Error While Analyze DirectX!"。
蠕蟲會在記憶體中搜尋如下進程:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
TDS2-98.EXE
TDS2-NT.EXE
FEWEB.EXE
一旦這些進程被找到,它們將被終止。蠕蟲隨後將搜尋並刪除進程所在目錄的所有檔案。如果有些檔案無法被刪除,蠕蟲將在WININIT.INI 中增加一項命令,以使windows重啟時,檔案能夠被刪除。蠕蟲還會將"C:\Safeweb"下的檔案全部刪光。
蠕蟲會在系統目錄生成檔案"gone.scr",並修改註冊表,以使機器重啟時能被自動執行。修改的註冊表鍵值如下:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, 鍵值名為"\gone.scr" 數據值為 "\gone.scr"
蠕蟲還會利用ICQ將自己傳送給聯繫人列表中所有線上的用戶,從而傳播。如果蠕蟲發現mIRC的目錄,就會創建檔案remote32.ini,並將這些內容寫入到mirc.ini中。而檔案remote32.ini中的代碼會被用來發動一個DOS攻擊。
