Goner - robak rozprzestrzeniający się przez e-mail i ICQ
- Krzysztof Arkuszewski,
- 07.12.2001
Goner jest robakiem internetowym rozsyłającym swoje kopie za pomocą poczty elektronicznej oraz programu ICQ. Potrafi również wykorzystywać IRCa do przeprowadzania ataków DoS oraz usuwać pliki określonych programów antywirusowych.
Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu o następujących parametrach:
Temat: Hi
Treść: When I saw this screen saver, I immediately thought about you.
I am in harry, I promise you will love it!
Załącznik: gone.scr
Po uruchomieniu przez użytkownika pliku załącznika, robak pokazuje okienko dialogowe, a w tym czasie w tle dokonuje masowej wysyłki swoich kopii za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows.
Następnie robak modyfikuje rejestr tak, by był uruchamiany przy każdym starcie systemu Windows.
Później przystępuje do usunięcia plików w katalogach instalacyjnych kilku programów antywirusowych, zawierające następujące pliki:
aplica32.exe
avconsol.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
cfiadmin.exe
cfiaudit.exe
cfinet32.exe
esafe.exe
frw.exe
icload95.exe
icloadnt.exe
icmon.exe
icsupp95.exe
icsuppnt.exe
lockdown2000.exe
navapw32.exe
navw32.exe
pcfwallicon.exe
safeweb.exe
tds2-98.exe
tds2-nt.exe
vsecomr.exe
vshwin32.exe
vsstat.exe
webscanx.exe
zonealarm.exe
_avp32.exe
_avpcc.exe
_avpm.exe
GGoner stara się również rozsyłać swoje kopie za pomocą programu ICQ (do wszystkich osób z listy kontaktowej będących "online"). Próbuje też przeprowadzić atak typu Denial of Service - za pomocą programu mIRC.
Zobacz również:
Na koniec, dla zatarcia śladów, robak wyświetla okienko z informacją o błędzie z powodu nieprawidłowego modułu DirectX.