Win32.Goner.A.Worm

病毒名称：Win32.Goner.A.Worm

其它名称：Win32/Goner.A , Win32.Goner.A@mm, W32/Goner.a@MM

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：高

具体介绍：

Goner.A是一种化装成屏保程序通过Microsoft Outlook传播的群发邮件型蠕虫病毒。它也可以通过ICQ和mIRC来传播。

蠕虫邮件的主题为"Hi", 附件名为"gone.scr". 邮件的主体内容如下：

How are you ?

When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it!

一旦蠕虫被激活，蠕虫将显示一个有关它来源的消息框和一条错误消息"Error While Analyze DirectX!"。

蠕虫会在内存中搜索如下进程：

APLICA32.EXE

ZONEALARM.EXE

ESAFE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET32.EXE

PCFWallIcon.EXE

FRW.EXE

VSHWIN32.EXE

VSECOMR.EXE

WEBSCANX.EXE

AVCONSOL.EXE

VSSTAT.EXE

PW32.EXE

VW32.EXE

VP32.EXE

VPCC.EXE

VPM.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

AVP.EXE

TDS2-98.EXE

TDS2-NT.EXE

FEWEB.EXE

一旦这些进程被找到，它们将被终止。蠕虫随后将搜索并删除进程所在目录的所有文件。如果有些文件无法被删除，蠕虫将在WININIT.INI 中增加一项命令，以使windows重启时，文件能够被删除。蠕虫还会将"C:Safeweb"下的文件全部删光。

蠕虫会在系统目录生成文件"gone.scr"，并修改注册表，以使机器重启时能被自动执行。修改的注册表键值如下:

HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN, 键值名为"gone.scr" 数据值为 "gone.scr"

蠕虫还会利用ICQ将自己发送给联系人列表中所有在线的用户，从而传播。如果蠕虫发现mIRC的目录，就会创建文件remote32.ini，并将这些内容写入到mirc.ini中。而文件remote32.ini中的代码会被用来发动一个DOS攻击。