Win32.Goner.A.Worm
病毒名称:Win32.Goner.A.Worm
其它名称:Win32/Goner.A , Win32.Goner.A@mm, W32/Goner.a@MM
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高
具体介绍:
Goner.A是一种化装成屏保程序通过Microsoft Outlook传播的群发邮件型蠕虫病毒。它也可以通过ICQ和mIRC来传播。
蠕虫邮件的主题为"Hi", 附件名为"gone.scr". 邮件的主体内容如下:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
一旦蠕虫被激活,蠕虫将显示一个有关它来源的消息框和一条错误消息"Error While Analyze DirectX!"。
蠕虫会在内存中搜索如下进程:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
TDS2-98.EXE
TDS2-NT.EXE
FEWEB.EXE
一旦这些进程被找到,它们将被终止。蠕虫随后将搜索并删除进程所在目录的所有文件。如果有些文件无法被删除,蠕虫将在WININIT.INI 中增加一项命令,以使windows重启时,文件能够被删除。蠕虫还会将"C:Safeweb"下的文件全部删光。
蠕虫会在系统目录生成文件"gone.scr",并修改注册表,以使机器重启时能被自动执行。修改的注册表键值如下:
HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, 键值名为"gone.scr" 数据值为 "gone.scr"
蠕虫还会利用ICQ将自己发送给联系人列表中所有在线的用户,从而传播。如果蠕虫发现mIRC的目录,就会创建文件remote32.ini,并将这些内容写入到mirc.ini中。而文件remote32.ini中的代码会被用来发动一个DOS攻击。