Finaliza los siguientes procesos en los ordenadores que infecta: APLICA32.EXE, AVCONSOL.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, ESAFE.EXE, FRW.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, LOCKDOWN2000.EXE, NAVAPW32.EXE, NAVW32.EXE, PCFWallIcon.EXE, SAFEWEB.EXE, TDS2-98.EXE, TDS2-NT.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSTAT.EXE, WEBSCANX.EXE, ZONEALARM.EXE.
Borra todos los ficheros que se encuentren en el directorio del fichero ejecutable correspondiente al proceso que finaliza.
Elimina todos los ficheros del directorio C:\SAFEWEB\ en caso de que éste exista en elordenador afectado.
Utiliza el ordenador afectado para lanzar ataques de tipo DoS (denegación de servicio) a través del IRC.
Finaliza la sesión de Windows.
Método de Infección:
Goner.A crea los siguientes ficheros:
WININIT.INI es utilizado por Goner.A para borrar posteriormente todos los ficheros que no haya podido borrar en primera instancia.
REMOTE32.INI es utilizado por Goner.A para lanzar ataques de tipo DoS (denegación de servicio) desde el ordenador atacado, siempre y cuando la aplicación mIRC se encuentre instalada. A continuación, busca la DLL (librería de enlace dinámico) ICQMAPI.DLL.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run C:\%WINDIR%\%SYSTEM%\gone.scr = C:\%WINDIR%\%SYSTEM%\gone.scr Mediante esta entrada, Goner.A consigue ejecutarse cada vez que se inicie Windows.
Método de Propagación:
Goner.A se propaga a través del correo electrónico y del chat ICQ.
1.- Propagación por correo electrónico.
Goner.A realiza el siguiente proceso:
LLega al ordenador en un mensaje de correo electrónico con las siguientes características:
Asunto: Hi
Contenido: How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
Fichero adjunto: GONE.SCR
Cuando el usuario ejecuta el fichero adjunto, el ordenador queda afectado.
Goner.A se envía automáticamente a todas las direcciones que encuentra en la Libreta de direcciones del ordenadorafectado.
2.- Propagación por chat ICQ.
Goner.A espera hasta que el usuario afectado se conecta a un canal del chat ICQ, y envía una copia de sí mismo a todos los usuarios conectados a ese canal en ese momento.
Otros Detalles:
Goner.A está escrito en el lenguaje de programación Visual Basic v6.0. El gusano llega en un fichero ejecutable de tipo PE (portable ejecutable) con extensiónSCR. Su tamaño es de 38912 Bytes y se encuentra comprimido en un formato similar a UPX 0.9, pero está protegido para evitar ser descomprimido.
El código de Goner.A contiene la siguiente información:
Comentarios: Power Puff girls rulz! ;>
Nombre del producto: pentagone
Nombre interno: gone
Nombre original del fichero: GONE.SCR
Versión del producto: 0.00.0003
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W32/Goner.A@mm , del tipo Gusano, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
Y no pierdas de vista los últimos virus aparecidos:
Baja
Medio
Para conseguir la mayor seguridad y protección
en tu ordenador, aprende a reconocer el virus W32/Goner.A@mm , del tipo Gusano, con la "Enciclopedia de virus" de HispaVista
AntiVirus. La mejor defensa para tu PC o Mac frente a este virus es la prevención. Aquí encontrarás los AntiVirus más eficaces y las mejores utilidades para mantener limpio y a salvo tu ordenador, así como para garantizar la protección de tus datos.
