Vogelfreund
Foren-Guru
- Beiträge
- 5.480
Alias: I-Worm.Goner, Gone, Pentagone
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel bis hoch
Risiko: mittel
Handlungsbedarf: Update des Virenschutzes; filtern von Attachments
Schadensfunktion: Massenmail, Löschen von Viren-Schutzprogrammen
W32.Goner.A@m... ist ein Massenmailer-Wurm, der in Visual Basic
geschrieben ist. Der Wurm-Code wurde mit einem bekannten PE-Packer (UPX) gepackt.
Er versendet sich per Email-Nachricht an Adressen aus dem Outlook
Adressbuch. Außerdem verbreitet er sich über ICQ- und IRC-Netzwerke.
Wenn MIRC installiert ist, werden vom Wurm Skripte in den MIRC-Folder
eingefügt.
Dies ermöglicht es, den Computer in einer DDoS-Attacke zu benutzen.
Die Betreffzeile ist:
Hi
Der Nachrichtentext lautet:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
Die angehängte Datei heißt:
gone.scr
Sie ist 38.912 Bytes groß.
Wenn der Wurm gestartet wird, zeigt er eine animierte Dialogbox mit dem Titel:
About
an. In diesem Fenster steht u.a. der Text:
pentagone
Dann versendet sich der Wurm im Hintergrund.
Nach dem Versenden des eigenen Codes zeigt W32.Goner.A@m... ein weiteres
Fenster mit folgendem Titel / Inhalt an:
Error
Error While Analyze DirectX!
W32.Goner.A@m... erzeugt den Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\windows\system\gone.scr bzw.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\winnt\system32\gone.scr
Der Wert des Schlüssels lautet auch:
C:\windows\system\gone.scr bzw.
C:\winnt\system32\gone.scr
Der Wurm sucht auf dem infizierten System nach den Prozessen:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Findet er diese Prozesse, versucht W32.Goner.A@m... diese Dateien zu
LÖSCHEN. Wenn dieser Versuch fehlschlägt, werden die Dateinamen in die Datei
wininit.ini geschrieben, die beim nächsten Systemstart dazu verwendet
wird, diese Dateien zu löschen.
Weiterhin versucht der Wurm das Verzeichnis c:\safeweb zu löschen.
Ein Entfernungstool für W32.Goner.A@m... ist im Internet verfügbar
unter: http://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.removal.tool.html
Es wird empfohlen, Attachments mit der Datei-Endung .scr (hier
gone.scr) am Email-Gateway zu filtern.
Ein Update der Viren-Schutzsoftware ist unbedingt erforderlich.
_______________________________________________________________
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel bis hoch
Risiko: mittel
Handlungsbedarf: Update des Virenschutzes; filtern von Attachments
Schadensfunktion: Massenmail, Löschen von Viren-Schutzprogrammen
W32.Goner.A@m... ist ein Massenmailer-Wurm, der in Visual Basic
geschrieben ist. Der Wurm-Code wurde mit einem bekannten PE-Packer (UPX) gepackt.
Er versendet sich per Email-Nachricht an Adressen aus dem Outlook
Adressbuch. Außerdem verbreitet er sich über ICQ- und IRC-Netzwerke.
Wenn MIRC installiert ist, werden vom Wurm Skripte in den MIRC-Folder
eingefügt.
Dies ermöglicht es, den Computer in einer DDoS-Attacke zu benutzen.
Die Betreffzeile ist:
Hi
Der Nachrichtentext lautet:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
Die angehängte Datei heißt:
gone.scr
Sie ist 38.912 Bytes groß.
Wenn der Wurm gestartet wird, zeigt er eine animierte Dialogbox mit dem Titel:
About
an. In diesem Fenster steht u.a. der Text:
pentagone
Dann versendet sich der Wurm im Hintergrund.
Nach dem Versenden des eigenen Codes zeigt W32.Goner.A@m... ein weiteres
Fenster mit folgendem Titel / Inhalt an:
Error
Error While Analyze DirectX!
W32.Goner.A@m... erzeugt den Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\windows\system\gone.scr bzw.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\winnt\system32\gone.scr
Der Wert des Schlüssels lautet auch:
C:\windows\system\gone.scr bzw.
C:\winnt\system32\gone.scr
Der Wurm sucht auf dem infizierten System nach den Prozessen:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Findet er diese Prozesse, versucht W32.Goner.A@m... diese Dateien zu
LÖSCHEN. Wenn dieser Versuch fehlschlägt, werden die Dateinamen in die Datei
wininit.ini geschrieben, die beim nächsten Systemstart dazu verwendet
wird, diese Dateien zu löschen.
Weiterhin versucht der Wurm das Verzeichnis c:\safeweb zu löschen.
Ein Entfernungstool für W32.Goner.A@m... ist im Internet verfügbar
unter: http://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.removal.tool.html
Es wird empfohlen, Attachments mit der Datei-Endung .scr (hier
gone.scr) am Email-Gateway zu filtern.
Ein Update der Viren-Schutzsoftware ist unbedingt erforderlich.
_______________________________________________________________
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
