精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>W32.Goner.A@mm(将死者)病毒资料

主题:W32.Goner.A@mm(将死者)病毒资料
发信人: emil(稻草人)
整理人: emil(2002-01-08 11:27:04), 站内信件
W32.Goner.A@mm
病毒名称:W32.Goner.A@mm
别名:  GONE.A, Gone, I-Worm.Goner, Pentagone, W32.Goner.A@mm, W32/Goner-A, W32/Goner.A@mm, W32/Goner.ini, W32/Goner@MM, WORM_GONE.A, WORM_GONER.A, Win32.Goner.A@mm, 将死者
危险等级:中
传播速度:快
发现时间:2001/12/04
长度:  38,912字节
发作时间:随时
感染症状:生成gone.scr和remote32.ini文件
发作症状:大量发送电子邮件
病毒类型:电子邮件蠕虫
操作平台:Windows 9x/ME/NT/2000
感染对象:无
传播途径:电子邮件、ICQ、IRC
病毒介绍:
    这是一个伪装成屏幕保护程序向Outlook地址簿中的地址大量发送电子邮件的病毒,并且试图删除一些安全防护软件,如防病毒和个人防火墙软件,该病毒还可以通过ICQ和IRC传播,并会生成IRC脚本。病毒发送的电子邮件格式如下:
标题:Hi
内容:
How are you ? 
When I saw this screen saver, I immediately thought about you 
I am in a harry, I promise you will love it! 
附件:GONE.SCR(38,912字节)

    当运行该附件,就会显示以下“关于”信息:
关于
然后过了一会,就会显示一个“错误”的提示框:
出错

    接着病毒就会将自身拷贝到Windows系统目录中(默认情况是\Windows\System或者\WinNT\System32),并修改注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\%SYSTEM%\gone.scr=\%SYSTEM%\gone.scr
(注:%SYSTEM%代表Windows系统目录)

    在Windows 9x/ME环境中,该病毒会检查内存中是否存在以下程序:
_AVP32.EXE 
_AVPCC.EXE 
_AVPM.EXE 
APLICA32.EXE 
AVP.EXE 
AVP32.EXE 
AVPCC.EXE 
AVPM.EXE 
CFIADMIN.EXE 
CFIAUDIT.EXE 
CFINET32.EXE 
ESAFE.EXE 
FRW.EXE 
ICLOAD95.EXE 
ICLOADNT.EXE 
ICMON.EXE 
ICSUPP95.EXE 
ICSUPPNT.EXE 
LOCKDOWN2000.EXE 
NAVW32.EXE 
PCFWallICON.EXE 
SAFEWEB.EXE 
TDS2-98.EXE 
TDS2-NT.EXE 
VSHWIN32.EXE 
ZONEALARM.EXE 
    如果存在,病毒就会删除以上程序目录和子目录中的所有其他文件。如果删除失败,病毒就会修改WININIT.INI文件,在下次系统启动时将这些文件删除。
这个病毒还试图将ICQMAPI.DLL拷贝到Windows系统目录中,并把自身发送给ICQ用户。同时,病毒会创建一个REMOTE32.INI文件,并修改mIRC的MIRC.INI调用该文件,自动通过IRC脚本连接到一个服务器上,通过IRC聊天工具传送病毒文件,还可以通过MIRC方式,在系统中安装后门程序,病毒制造者可远程控制。

    在WinNT/2000系统中,在“任务管理器”中可以看到一个"pentagone"进程或者"gone.scr"程序在运行。

预防方法:
    不要打开以上邮件,更不要打开和运行邮件中的附件!

紧急清除方法:
    1、在Windows 9x/ME环境下:
a) 由于gone.scr文件在系统启动时是自动执行的,不能直接删除,因此要清除该病毒的话,建议进入安全模式下的MSDOS命令行方式或者纯DOS下。在进入DOS方式后运行以下命令(按默认情况):
C:\>cd windows\system
C:\WINDOWS\SYSTEM>attrib -r -h -s gone.scr
(如果找不到这个gone.scr文件则说明病毒没有激活,则不用执行以下操作)
C:\WINDOWS\SYSTEM>del gone.scr
b) 然后重新启动进入Windows,在“开始”\“运行”中运行regedit注册表编辑器,依次打开以下键
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗口有关gone.scr的键值,默认是C:\WINDOWS\SYSTEM\gone.scr。
c) 点击“开始”\“查找”,查找REMOTE32.INI,找到后将该文件删除,重新启动计算机即可。

    2、在WinNT/2000环境下:
a) 同时按CTRL-ALT-DEL键,选择“任务管理器”,在“进程”中选择GONE.SCR和pentagone,然后中止这两个进程。(如果找不到该进程,则说明病毒没有激活,不用执行以下操作)
b) 点击“开始”\“运行”,运行CMD进入命令行方式,然后运行以下命令:
C:\>cd winnt\system32
C:\WINNT\SYSTEM32>attrib -r -h -s gone.scr
C:\WINNT\SYSTEM32>del gone.scr
c) 然后重新返回Windows,在“开始”\“运行”中运行regedit注册表编辑器,依次打开以下键
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
删除右边窗口有关gone.scr的键值,默认是C:\WINDOWS\SYSTEM\gone.scr。
d) 点击“开始”\“查找”,查找REMOTE32.INI,找到后将该文件删除,重新启动计算机即可。


----
欢迎光临聊毒斋!!!
http://cnav.cn99.com or http://cnav.6to23.com
Email: [email protected]
Oicq:201604 
[关闭][返回]