您的位置:主页 >>  病毒信息 >>  网络病毒专科




    

将死者(Goner)病毒专题
(瑞星公司)
 
技术资料…………………………………………
  1. 病毒资料

    病毒名称:Worm.Gone
    病毒类型:网络蠕虫
    病毒大小: 38912字节 

      该病毒本身是一个压缩文件 ,如果打开压缩文件,就会变成159KB的文件。此病毒是用Visual Basic编写,且经过压缩软件UPX压缩,反解压工具处理,使之用原始的UPX不能解压。由于是VB编写的病毒,它运行时就需要一个VB的动态链接库msvbvm60.dll,若用户的计算机里没这个文件,病毒就无法被激活,这些用户则会幸免于难。

    传播方式:

    (1).通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。
    (2).通过IRC聊天工具传送病毒文件,插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击。
    (3).通过ICQ聊天程序,判断ICQ的版本,如果版本正确则将自身发给在线的网友。

    工作过程:
      
       1)首先,弹出一个对话框:
     


       2)将自身copy至Windows系统目录下,修改注册表:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run %SystemDirectory%\GONE.SCR = %SystemDirectory%\GONE.SCR 

       3)伪装成了一个屏幕护程序,开始传播.如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时,它会以如下方式显示:

      邮件主题:Hi
      邮件内容:How are you ?
      When I saw this screensaver, I immediately thought about you
      I am in a harry, I promise you will love it!

      附件名称:GONE.SCR

     4)此病毒还会搜索计算机里的反病毒软件,它首先检查内存中是否有如下程序:
      APLICA32.EXE 
      AVCONSOL.EXE 
      AVP.EXE
      AVP32.EXE
      AVPCC.EXE
      AVPM.EXE
      CFIADMIN.EXE
      CFIAUDIT.EXE
      CFINET32.EXE
      ESAFE.EXE
      FRW.EXE
      FEWEB.EXE
      ICLOAD95.EXE
      ICLOADNT.EXE
      ICMON.EXE
      ICSUPP95.EXE
      ICSUPPNT.EXE
      LOCKDOWN2000.EXE
      PCFWallIcon.EXE
      PW32.EXE
      TDS2-98.EXE
      TDS2-NT.EXE
      VP32.EXE
      VPCC.EXE
      VPM.EXE
      VSECOMR.EXE
      VSHWIN32.EXE
      VSSTAT.EXE
      VW32.EXE
      WEBSCANX.EXE
      ZONEALARM.EXE

      若存在上述程序,病毒将会自动关闭它们,同时查找硬盘上对应文件所在目录,并删除该目录下的所有文件。若无法删除,病毒会修改wininit.ini文件以便在系统重启时删除文件。

    5)如果被感染机器装了ICQ,则判断ICQ的版本,如果版本正确则将自身发给在线的网友。
    6)弹一对话框,显示一条虚假信息来掩饰自己:



  2. 手工清除方法:

      1) 在纯DOS模式下,用类似

      C:

      CD \WINNT\SYSTEM

      的命令切换到WINDOWS的系统目录,键入

      DEL GONE.SCR

      删除gone.scr文件;

      2) 接着回到WINDOWS,启动注册表编辑器, 
       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\,
       删除其中名称中含有"\gone.scr"的键值;

      3) 删除mIRC目录中的REMOTE32.INI 文件;

      4) 删除MIRC.INI文件,用以前的备份文件中恢复该文件;

      5) 该病毒轻松清除。
 
相关新闻…………………………………………
       
     Goner的嫌疑犯是如何被发现的 (12-12 9:59)
     以色列四少年涉嫌撰写“Goner”病毒被逮捕 (12-12 9:58)
     商业用户受害者和Goner病毒爆发中的坏蛋 (12-11 10:40)
     四名以色列学生承认编写和传播“将死者”病毒 (12-10 11:38)
     “将死者”病毒并未造成重大经济损失 (12-10 11:34)
     Goner worm less costly than recent computer viruses(12-7 11:43)
     能删除杀毒软件的病毒“Goner”问世(12-7 10:49)
     ‘Goner’电脑病毒蔓延香港 (12-7 10:33)
     警惕“失魂者”(将死者)病毒 (12-7 9:42)
     ``Goner'' Virus Threatens Businesses(12-6 13:10)
     They Looked, They Clicked, a New E-Mail Virus Conquered(12-6 13:05)
     "五角"病毒威胁邮件 专家称其"毒性"不及尼姆达(12-6 10:26)
     Goner病毒发威 欧美传灾情 (12-6 10:03)
     “将死者”病毒不“死” 攻击将持续到下周 (12-6 9:40)
     “Goner”肆虐欧美 但入侵亚洲威力减弱 (12-6 9:35)
     “尼姆达”变种卷土重来 “将死者”病毒国内登陆(12-5 12:10)
     “五角大楼”病毒在全球迅速蔓延(12-5 11:04)
     “将死者”幽灵现身 传播速度赶上“爱虫”病毒 (12-5 10:07)
 

   

      (瑞星公司提供紧急救援上门服务,联系电话:86243399-531)