該病毒本身是一個壓縮檔案 ,如果打開壓縮檔案,就會變成159KB的檔案。此病毒是用Visual Basic編寫,且經過壓縮軟體UPX壓縮,反解壓工具處理,使之用原始的UPX不能解壓。由於是VB編寫的病毒,它運行時就需要一個VB的動態程式庫msvbvm60.dll,若用戶的計算機里沒這個檔案,病毒就無法被激活,這些用戶則會幸免於難。
基本介紹
- 中文名:Worm.Goner
- 知識庫編號: RSV0512293
- 內容分類: 蠕蟲病毒
- 適用作業系統:Windows 作業系統
基本信息,病毒介紹,病毒特性,解決方案,
基本信息
將死者(Worm.Goner)病毒解決方案
關鍵字: Worm.Goner;將死者
適用作業系統補丁版本:全部補丁適用
將死者(Worm.Goner)病毒資料及解決方案。
病毒介紹
病毒名稱:Worm.Goner
病毒類型:網路蠕蟲
病毒大小: 38912位元組
病毒傳播方式
(1).通過Outlook電子郵件地址簿向用戶傳送帶有蠕蟲病毒附屬檔案檔案的郵件。
(2).通過IRC聊天工具傳送病毒檔案,插入mIRC SCRIPT腳本使染毒機器可以用來進行DDOS攻擊。
(3).通過ICQ聊天程式,判斷ICQ的版本,如果版本正確則將自身發給線上的網友。
病毒特性
1)首先,彈出一個對話框:
2)將自身copy至Windows系統目錄下,修改註冊表:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run %SystemDirectory%\GONE.SCR = %SystemDirectory%\GONE.SCR
3)偽裝成了一個螢幕護程式,開始傳播.如果通過Outlook電子郵件地址簿向用戶傳送帶有蠕蟲病毒附屬檔案檔案時,它會以如下方式顯示:
郵件主題:Hi
郵件內容:How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!
附屬檔案名稱:GONE.SCR
4)此病毒還會搜尋計算機里的反病毒軟體,它首先檢查記憶體中是否有如下程式:
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
若存在上述程式,病毒將會自動關閉它們,同時查找硬碟上對應檔案所在目錄,並刪除該目錄下的所有檔案。若無法刪除,病毒會修改wininit.ini檔案以便在系統重啟時刪除檔案。
5)如果被感染機器裝了ICQ,則判斷ICQ的版本,如果版本正確則將自身發給線上的網友。
6)彈一對話框,顯示一條虛假信息來掩飾自己:
解決方案
方案一 手工清除方法。
1) 在純DOS模式下,用類似
C:
CD \WINNT\SYSTEM
的命令切換到WINDOWS的系統目錄,鍵入
DEL GONE.SCR
刪除gone.scr檔案;
2) 接著回到WINDOWS,啟動註冊表編輯器,?
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\,
刪除其中名稱中含有"\gone.scr"的鍵值;
3) 刪除mIRC目錄中的REMOTE32.INI 檔案;
4) 刪除MIRC.INI檔案,用以前的備份檔案中恢復該檔案;
5) 該病毒輕鬆清除。
方案二 瑞星防毒軟體13.33.01之後的版本可以徹底攔截此病毒。