將死者Goner病毒

將死者Goner病毒

“將死者”(I-WORM/GONER)是一種惡性電子郵件病毒,它通過網際網路區域網路進行自我複製傳播,影響微軟Outlook和Outlook Express等郵件系統刪除系統檔案並導致系統當機,另外使用ICQ即時信息傳遞系統以及網際網路中繼聊天軟體的用戶也有可能受到這種病毒的攻擊

該病毒能發現記憶體中已經運行的一些反病毒軟體(防毒軟體),發現反病毒軟體就立即終止程式執行:刪除相應目錄下的執行檔(exe)、掃描引擎等,使得受感染用戶無法覺察該病毒的存在

(名片參考來源

基本介紹

  • 中文名:將死者
  • 外文名:I-WORM/GONER
  • 病毒類型:網路蠕蟲
  • 病毒大小:38912位元組
  • 編寫程式:Visual Bsaic(簡稱VB)
  • 危害系統:Wnidows NT/2000/XP/9x/Me
病毒機理,攻擊原理,病毒構成,運行過程,傳播方式,病毒對應,病毒預防,手工清除,

病毒機理

攻擊原理

該病毒以電子郵件形式傳播時使用的主題“HI”,附屬檔案(gone.scr)被修改成螢幕保護程式,大小為38912位元組。內容:"How are you ? When I saw this screensaver, I immediately thought about you。 I am in a hurry, I promise you will love it!"(我一看到這個螢幕保護程式,我馬上就想到了你。我想你一定會喜歡的!)病毒被激活,病毒會顯示一個有關它來源的訊息和一條錯誤訊息(Error While Analyze DirectX!),病毒就可以向用戶電子郵件系統地址簿中的所有地址傳送帶有病毒郵件,另外還會關閉計算機用戶正在運行的視窗,刪除反病毒檔案和系統檔案

病毒構成

將死者(Goner)病毒是個壓縮檔案 ,壓縮檔案打開就會變成159KB大小的檔案。該病毒是用Visual Basic編寫,經過壓縮軟體UPX壓縮,反解壓工具處理,使之用原始的UPX不能解壓。由於是VB編寫的病毒,病毒運行時就需要VB的動態程式庫(msvbvm60.dll,用戶計算機里沒這個檔案,病毒就無法被激活

運行過程

病毒打開彈出一個對話框(對話框內容介紹病毒來源)
病毒將自身copy至Windows系統目錄下,修改註冊表:HKLM\Software\Microsoft\Windows\CurrentVersion\Run%SystemDirectory%\GONE.SCR = %SystemDirectory%\GONE.SCR
偽裝成了一個螢幕護程式傳播。通過Outlook電子郵件地址簿向用戶傳送帶有蠕蟲病毒附屬檔案檔案時,病毒會以郵件方式顯示:郵件主題:Hi。郵件內容:How are you ?When I saw this screensaver, I immediately thought about you I am in a harry, I promise you will love it!
附屬檔案名稱:GONE.SCR。
此病毒會搜尋計算機里的反病毒軟體,首先檢查記憶體中的程式。
記憶體有相關程式,病毒會自動關閉它們,同時查找硬碟對應檔案所在目錄,並刪除該目錄下的所有檔案。若無法刪除,病毒會修改wininit.ini檔案以便在系統重啟時刪除檔案。
如果被感染機器裝了ICQ,則判斷ICQ的版本,如果版本正確則將自身發給線上的網友。
彈一對話框,顯示一條虛假信息來掩飾自己:(Error While Analyze DirectX!)。

傳播方式

病毒通過Outlook電子郵件地址簿向用戶傳送帶有蠕蟲病毒附屬檔案檔案的郵件。通過IRC聊天工具傳送病毒檔案,插入mIRC SCRIPT腳本使染毒機器可以用來進行DDOS攻擊。通過ICQ聊天程式,判斷ICQ的版本,如果版本正確則將自身發給線上網友

病毒對應

病毒預防

Worm.Goner(將死者)辦法與多數蠕蟲病毒的方法類似,不要打開上文提到的主題郵件,注意不要瀏覽陌生網頁,警惕陌生郵件,安裝防火牆軟體,升級防毒軟體。

手工清除

DOS模式下,用C:CD \WINNT\SYSTEM命令切換到WINDOWS的系統目錄,鍵入DEL GONE.SCR刪除gone.scr檔案,回到WINDOWS,啟動註冊表編輯器,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\,刪除其中名稱中含有"\gone.scr"的鍵值;刪除mIRC目錄中的REMOTE32.INI 檔案,刪除MIRC.INI檔案,用備份檔案中恢復該檔案。

相關詞條

熱門詞條

聯絡我們