Worm.Gone

病毒别名：I-Worm.Goner[AVP], W32.Goner.A@mm[NAV], WORM_GONER.A[Trend], Win32.Goner.A[CA]

处理时间：2001-12-05

威胁级别：★★★

中文名称：将死者

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

“将死者”病毒是一种通过Email传播的蠕虫病毒，其附件名为GONE.SCR，它伪装成一个屏幕护程序。邮件特定如下：

主题：Hi

正文：

How are you ?

When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

1.该病毒用Visual Basic编写，经过UPX压缩。由于是VB编写的病毒，它运行时就需要一个VB的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活。

2.此病毒运行时会将自身拷贝至%system%目录下。

3.病毒在注册表的主键:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

中添加键值"="C:\%SYSTEM%gone.scr"

以便该病毒在每次重启 Windows 时运行。

4.为了更好的运行，此病毒还会搜索计算机里的反病毒软件，它首先检查内存中是否有如下程序：

APLICA32.EXE

AVCONSOL.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET32.EXE

ESAFE.EXE

FRW.EXE

FEWEB.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

LOCKDOWN2000.EXE

PCFWallIcon.EXE

PW32.EXE

TDS2-98.EXE

TDS2-NT.EXE

VP32.EXE

VPCC.EXE

VPM.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

VW32.EXE

WEBSCANX.EXE

ZONEALARM.EXE

若存在上述程序，病毒将会自动关闭它们，同时查找硬盘上对应文件所在目录，并删除该目录下的所有文件。若无法删除，病毒会修改wininit.ini文件以便在系统重启时删除文件。