发信人: emil(稻草人)
整理人: emil(2002-01-08 11:27:04), 站内信件
|
W32.Goner.A@mm
病毒名称:W32.Goner.A@mm
别名: GONE.A, Gone, I-Worm.Goner, Pentagone, W32.Goner.A@mm, W32/Goner-A, W32/Goner.A@mm, W32/Goner.ini, W32/Goner@MM, WORM_GONE.A, WORM_GONER.A, Win32.Goner.A@mm, 将死者
危险等级:中
传播速度:快
发现时间:2001/12/04
长度: 38,912字节
发作时间:随时
感染症状:生成gone.scr和remote32.ini文件
发作症状:大量发送电子邮件
病毒类型:电子邮件蠕虫
操作平台:Windows 9x/ME/NT/2000
感染对象:无
传播途径:电子邮件、ICQ、IRC
病毒介绍:
这是一个伪装成屏幕保护程序向Outlook地址簿中的地址大量发送电子邮件的病毒,并且试图删除一些安全防护软件,如防病毒和个人防火墙软件,该病毒还可以通过ICQ和IRC传播,并会生成IRC脚本。病毒发送的电子邮件格式如下:
标题:Hi
内容:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
附件:GONE.SCR(38,912字节)
当运行该附件,就会显示以下“关于”信息:
然后过了一会,就会显示一个“错误”的提示框:
接着病毒就会将自身拷贝到Windows系统目录中(默认情况是\Windows\System或者\WinNT\System32),并修改注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\%SYSTEM%\gone.scr=\%SYSTEM%\gone.scr
(注:%SYSTEM%代表Windows系统目录)
在Windows 9x/ME环境中,该病毒会检查内存中是否存在以下程序:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
APLICA32.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVW32.EXE
PCFWallICON.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VSHWIN32.EXE
ZONEALARM.EXE
如果存在,病毒就会删除以上程序目录和子目录中的所有其他文件。如果删除失败,病毒就会修改WININIT.INI文件,在下次系统启动时将这些文件删除。
这个病毒还试图将ICQMAPI.DLL拷贝到Windows系统目录中,并把自身发送给ICQ用户。同时,病毒会创建一个REMOTE32.INI文件,并修改mIRC的MIRC.INI调用该文件,自动通过IRC脚本连接到一个服务器上,通过IRC聊天工具传送病毒文件,还可以通过MIRC方式,在系统中安装后门程序,病毒制造者可远程控制。
在WinNT/2000系统中,在“任务管理器”中可以看到一个"pentagone"进程或者"gone.scr"程序在运行。
预防方法:
不要打开以上邮件,更不要打开和运行邮件中的附件!
紧急清除方法:
1、在Windows 9x/ME环境下:
a) 由于gone.scr文件在系统启动时是自动执行的,不能直接删除,因此要清除该病毒的话,建议进入安全模式下的MSDOS命令行方式或者纯DOS下。在进入DOS方式后运行以下命令(按默认情况):
C:\>cd windows\system
C:\WINDOWS\SYSTEM>attrib -r -h -s gone.scr
(如果找不到这个gone.scr文件则说明病毒没有激活,则不用执行以下操作)
C:\WINDOWS\SYSTEM>del gone.scr
b) 然后重新启动进入Windows,在“开始”\“运行”中运行regedit注册表编辑器,依次打开以下键
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗口有关gone.scr的键值,默认是C:\WINDOWS\SYSTEM\gone.scr。
c) 点击“开始”\“查找”,查找REMOTE32.INI,找到后将该文件删除,重新启动计算机即可。
2、在WinNT/2000环境下:
a) 同时按CTRL-ALT-DEL键,选择“任务管理器”,在“进程”中选择GONE.SCR和pentagone,然后中止这两个进程。(如果找不到该进程,则说明病毒没有激活,不用执行以下操作)
b) 点击“开始”\“运行”,运行CMD进入命令行方式,然后运行以下命令:
C:\>cd winnt\system32
C:\WINNT\SYSTEM32>attrib -r -h -s gone.scr
C:\WINNT\SYSTEM32>del gone.scr
c) 然后重新返回Windows,在“开始”\“运行”中运行regedit注册表编辑器,依次打开以下键
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
删除右边窗口有关gone.scr的键值,默认是C:\WINDOWS\SYSTEM\gone.scr。
d) 点击“开始”\“查找”,查找REMOTE32.INI,找到后将该文件删除,重新启动计算机即可。
---- 欢迎光临聊毒斋!!!
http://cnav.cn99.com or http://cnav.6to23.com
Email: [email protected]
Oicq:201604 |
|