Goner - robak rozprzestrzeniający się przez e-mail i ICQ

Goner jest robakiem internetowym rozsyłającym swoje kopie za pomocą poczty elektronicznej oraz programu ICQ. Potrafi również wykorzystywać IRCa do przeprowadzania ataków DoS oraz usuwać pliki określonych programów antywirusowych.

Zwykle robak pojawia się w komputerze ofiary w postaci załącznika do listu o następujących parametrach:

Temat: Hi

Treść: When I saw this screen saver, I immediately thought about you.

I am in harry, I promise you will love it!

Załącznik: gone.scr

Po uruchomieniu przez użytkownika pliku załącznika, robak pokazuje okienko dialogowe, a w tym czasie w tle dokonuje masowej wysyłki swoich kopii za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows.

Następnie robak modyfikuje rejestr tak, by był uruchamiany przy każdym starcie systemu Windows.

Później przystępuje do usunięcia plików w katalogach instalacyjnych kilku programów antywirusowych, zawierające następujące pliki:

aplica32.exe

avconsol.exe

avp.exe

avp32.exe

avpcc.exe

avpm.exe

cfiadmin.exe

cfiaudit.exe

cfinet32.exe

esafe.exe

frw.exe

icload95.exe

icloadnt.exe

icmon.exe

icsupp95.exe

icsuppnt.exe

lockdown2000.exe

navapw32.exe

navw32.exe

pcfwallicon.exe

safeweb.exe

tds2-98.exe

tds2-nt.exe

vsecomr.exe

vshwin32.exe

vsstat.exe

webscanx.exe

zonealarm.exe

_avp32.exe

_avpcc.exe

_avpm.exe

GGoner stara się również rozsyłać swoje kopie za pomocą programu ICQ (do wszystkich osób z listy kontaktowej będących "online"). Próbuje też przeprowadzić atak typu Denial of Service - za pomocą programu mIRC.

Zobacz również:

  • ProtonMail znika z rynku - w jego miejsce pojawia się coś lepszego!

Na koniec, dla zatarcia śladów, robak wyświetla okienko z informacją o błędzie z powodu nieprawidłowego modułu DirectX.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200