Viruswarnung: W32.Goner.A@mm

Diskutiere Viruswarnung: W32.Goner.A@mm im Bekanntmachungen Forum im Bereich Wichtige Infos - Bitte lesen !; Alias: I-Worm.Goner, Gone, Pentagone Art: Massenmailer-Wurm Betriebssystem: Microsoft Windows Verbreitung: mittel bis hoch Risiko: mittel...

  1. #1 Vogelfreund, 6. Dezember 2001
    Vogelfreund

    Vogelfreund Foren-Guru

    Dabei seit:
    28. Dezember 1999
    Beiträge:
    5.564
    Zustimmungen:
    3
    Ort:
    Dülken, Nordrhein-Westfalen, Germany
    Alias: I-Worm.Goner, Gone, Pentagone
    Art: Massenmailer-Wurm
    Betriebssystem: Microsoft Windows
    Verbreitung: mittel bis hoch
    Risiko: mittel
    Handlungsbedarf: Update des Virenschutzes; filtern von Attachments
    Schadensfunktion: Massenmail, Löschen von Viren-Schutzprogrammen


    W32.Goner.A@m... ist ein Massenmailer-Wurm, der in Visual Basic
    geschrieben ist. Der Wurm-Code wurde mit einem bekannten PE-Packer (UPX) gepackt.
    Er versendet sich per Email-Nachricht an Adressen aus dem Outlook
    Adressbuch. Außerdem verbreitet er sich über ICQ- und IRC-Netzwerke.
    Wenn MIRC installiert ist, werden vom Wurm Skripte in den MIRC-Folder
    eingefügt.
    Dies ermöglicht es, den Computer in einer DDoS-Attacke zu benutzen.


    Die Betreffzeile ist:
    Hi

    Der Nachrichtentext lautet:
    How are you ?
    When I saw this screen saver, I immediately thought about you
    I am in a harry, I promise you will love it!

    Die angehängte Datei heißt:
    gone.scr

    Sie ist 38.912 Bytes groß.

    Wenn der Wurm gestartet wird, zeigt er eine animierte Dialogbox mit dem Titel:

    About

    an. In diesem Fenster steht u.a. der Text:

    pentagone

    Dann versendet sich der Wurm im Hintergrund.
    Nach dem Versenden des eigenen Codes zeigt W32.Goner.A@m... ein weiteres
    Fenster mit folgendem Titel / Inhalt an:

    Error
    Error While Analyze DirectX!


    W32.Goner.A@m... erzeugt den Registrierungs-Schlüssel:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    C:\windows\system\gone.scr bzw.
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    C:\winnt\system32\gone.scr

    Der Wert des Schlüssels lautet auch:
    C:\windows\system\gone.scr bzw.
    C:\winnt\system32\gone.scr

    Der Wurm sucht auf dem infizierten System nach den Prozessen:
    APLICA32.EXE
    ZONEALARM.EXE
    ESAFE.EXE
    CFIADMIN.EXE
    CFIAUDIT.EXE
    CFINET32.EXE
    PCFWallIcon.EXE
    FRW.EXE
    VSHWIN32.EXE
    VSECOMR.EXE
    WEBSCANX.EXE
    AVCONSOL.EXE
    VSSTAT.EXE
    PW32.EXE
    VW32.EXE
    VP32.EXE
    VPCC.EXE
    VPM.EXE
    AVP32.EXE
    AVPCC.EXE
    AVPM.EXE
    AVP.EXE
    LOCKDOWN2000.EXE
    ICLOAD95.EXE
    ICMON.EXE
    ICSUPP95.EXE
    ICLOADNT.EXE
    ICSUPPNT.EXE
    TDS2-98.EXE
    TDS2-NT.EXE
    SAFEWEB.EXE

    Findet er diese Prozesse, versucht W32.Goner.A@m... diese Dateien zu
    LÖSCHEN. Wenn dieser Versuch fehlschlägt, werden die Dateinamen in die Datei
    wininit.ini geschrieben, die beim nächsten Systemstart dazu verwendet
    wird, diese Dateien zu löschen.

    Weiterhin versucht der Wurm das Verzeichnis c:\safeweb zu löschen.

    Ein Entfernungstool für W32.Goner.A@m... ist im Internet verfügbar
    unter: http://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.removal.tool.html


    Es wird empfohlen, Attachments mit der Datei-Endung .scr (hier
    gone.scr) am Email-Gateway zu filtern.

    Ein Update der Viren-Schutzsoftware ist unbedingt erforderlich.

    _______________________________________________________________

    BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
    Voice +49-228-9582-444 / FAX +49-228-9582-427
     
  2. Anzeige

    Schau dir mal diese Ratgeber an. Dort wirst du bestimmt fündig!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Viruswarnung: W32.Goner.A@mm

Die Seite wird geladen...

Viruswarnung: W32.Goner.A@mm - Ähnliche Themen

  1. Bundesringe 7 mm

    Bundesringe 7 mm: Hallo Freunde! Mir fehlen 4 Bundesringe 7mm, wer welsche hat würde ich gerne abnehmen. mfg.:0-
  2. Ringe 4,5 mm

    Ringe 4,5 mm: Hallo, hat jemand offene 4,5 mm Ringe um Katharinas zu beringen? Ich benötige derzeit 2 Stück, bei der Ringstelle gibt es diese Größe leider nur...
  3. Ringe 4,5 mm

    Ringe 4,5 mm: Hallo, hat jemand offene 4,5 mm Ringe um Katharinas zu beringen? Ich benötige derzeit 2 Stück, bei der Ringstelle gibt es diese Größe leider nur...
  4. 10 mm Ringe für Rassetauben

    10 mm Ringe für Rassetauben: Hallo hat jemand Ringe für Rassetauben von 2010 . Ringegröße 10 mm
  5. Welches Geschlecht kann man gut zusammen MW,MM oder WW ??

    Welches Geschlecht kann man gut zusammen MW,MM oder WW ??: Hallo, möchte mir gerne in nächster Zeit Kanaries anschaffen und würde gerne wissen welches Geschlecht man am besten zusammen halten kann?? :?...