Envíanos un mensaje


Enviar
 Categoría:  Informática / Seguridad / Virus

marca Virus Goner

 Toda la información sobre el virus Goner Autor: Alegsa
Fecha: 2001-12-10
¿Dudas? ¿Problemas? Escriba aquí
Anuncios

Nombre: W32/WORM_Goner.A ó Gone ó Pentagone
Clasificación: Gusano

Alerta:
McAfee AVERT lo ha clasificado de ALTO riesgo.

Propagación:
Se propaga rápidamente por internet reenvíandose por correo electrónico a través del Outlook y el ICQ.

Características:
El asunto suele ser:
"Hi"

Mensaje:
"When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!"

Llega en un archivo adjunto llamado Gone.SCR

Técnica:
El adjunto "Gone.SCR" está comprimido en UPX y fue compilado en Visual Basic.

Acción:
Una vez que de ejecuta Gone.SCR de forma manual (no como Badtrans que es automático), en la pantalla aparece una ventana que dice:
"About" y luego otra ventana con el título "Error".
En ese momento, copia el gusano en la carpeta SYSTEM de Windows con el mismo nombre y crea una clave en el registro que hace cada vez que se inicia una sesión en el sistema operativo, se ejecute el gusano.

La clave se puede encontrar en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\Run\System\go ne.scr = \System\gone.scr

Luego utiliza el programa de chat mIRC y crea un backdoor (puerta trasera) en un archivo llamado REMOTE.INI, el cual se inicia cuando se ejecuta el programa.

Acción en el chat:
Inicia ataques de Denegación de Servicio o DoS en canales y a la vez a los demás usuarios para infectarlos. Siempre y cuando utilicemos alguna versión del programa mIRC.

Acción en ICQ:
Puede utilizar también la aplicación de chat de ICQ. Para propagarse emplea ICQAPI (ICQMAPI.DLL) y así autoenviarse a los usuarios on-line (conectados).

Métodos del virus:
Destruye ciertos los archivos siguientes (correspondientes a firewalls o antivirus, etc.):

Por ejemplo, desactiva de memoria estas aplicaciones de Antiviral Toolkit Pro y los destruye (como también los todos los demás archivos encontrados en las carpetas del antivirus):
_AVP32.EXE = AVP Scanner
 _AVPCC.EXE = AVP Control Centre Application
_AVPM.EXE = AVP Monitor
AVP.EXE = Aplicación AntiViral Toolkit Pro
AVP32.EXE = AVP Scanner
AVPCC.EXE = AVP Control Centre Application
AVPM.EXE = AVP Monitor

También desactiva y elimina el cortafuego (firewall) ConSeal PC Firwall:
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
FRW.EXE
PCFWallIcon.EXE

McAfee VirusScan
AVCONSOL.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE

Norton Antivirus
NAVAPW32.EXE
NAVW32.EXE

Sophos Antivirus Win 95 / NT
ICMON.EXE (Monitor)
ICLOAD95.EXE
ICSUPP95.EXE
ICLOADNT.EXE Likely Sophos Antivirus Win NT
ICSUPPNT.EXE Likely Sophos Antivirus Win NT


AtGurad Personal Firwall
IAMAPP.EXE
IAMSERV.EXE


Y otras aplicaciones de seguridad:

APLICA32.EXE
ESAFE.EXE = Aladdin Knowledge Systems
LOCKDOWN2000.EXE = LockDown 2000
SAFEWEB.EXE
TDS2-98.EXE TDS-2 Trojan Defense Suite Win 98
TDS2-NT.EXE Trojan Defense Suite Win NT
WEBSCANX.EXE
ZONEALARM.EXE = ZoneLabs ZoneAlarm

Desinfección:
McAfee AVERT

Manualmente:
Eliminar la clave del registro ya mencionada.
Borrar el archivo GONE.SCR de cualquier parte del sistema.
Borrar mIRC e ICQ.








Notas Relacionadas

¿Dudas? ¿Comentarios? Escriba aquí


   Comentarios y dudas Foros de Alegsa.com.ar

    No hay ningún comentario todavía

ayuda
¿preguntas? ¿dudas?
Ingrese al Foro
Todos los derechos reservados © 1998 - 2017 - ALEGSA - Santa Fe, Argentina.
Políticas del sitio web - Contacto - Publicidad