Clasificación: Gusano
Alerta: McAfee AVERT lo ha clasificado de ALTO riesgo.
Propagación:
Se propaga rápidamente por internet reenvíandose por correo electrónico a través del Outlook y el ICQ.
Características:
El asunto suele ser:
"Hi"
Mensaje:
"When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!"
Llega en un archivo adjunto
llamado Gone.SCR
Técnica:
El adjunto "Gone.SCR" está comprimido en UPX y fue compilado en
Visual Basic.
Acción:
Una vez que de ejecuta Gone.SCR de forma manual (no como Badtrans que es
automático), en la pantalla aparece una ventana que dice: "About" y
luego otra ventana con el título "Error".
En ese momento, copia el gusano en la carpeta SYSTEM de Windows con el mismo
nombre y crea una clave en el registro que hace cada vez que se inicia una
sesión en el sistema operativo, se ejecute el gusano.
La clave se puede encontrar en:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current\Version\Run\System\go
ne.scr = \System\gone.scr
Luego utiliza el programa de chat mIRC y crea un backdoor (puerta trasera) en un
archivo llamado REMOTE.INI, el cual se inicia cuando se ejecuta el programa.
Acción en el chat:
Inicia ataques de Denegación de Servicio o DoS en canales y a la vez a los
demás usuarios para infectarlos. Siempre y cuando utilicemos alguna versión
del programa mIRC.
Acción en ICQ:
Puede utilizar también la aplicación de chat de ICQ. Para propagarse emplea
ICQAPI (ICQMAPI.DLL) y así autoenviarse a los usuarios on-line (conectados).
Métodos del virus:
Destruye ciertos los archivos siguientes (correspondientes a firewalls o
antivirus, etc.):
Por ejemplo, desactiva de memoria estas aplicaciones de Antiviral Toolkit Pro
y los destruye (como también los todos los demás archivos encontrados en las
carpetas del antivirus):
_AVP32.EXE = AVP Scanner
_AVPCC.EXE = AVP Control Centre Application
_AVPM.EXE = AVP Monitor
AVP.EXE =
Aplicación AntiViral Toolkit Pro
AVP32.EXE = AVP Scanner
AVPCC.EXE = AVP Control Centre Application
AVPM.EXE = AVP Monitor
También desactiva y elimina el cortafuego (firewall) ConSeal PC Firwall:
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
FRW.EXE
PCFWallIcon.EXE
McAfee VirusScan
AVCONSOL.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
Norton Antivirus
NAVAPW32.EXE
NAVW32.EXE
Sophos Antivirus Win 95 / NT
ICMON.EXE (Monitor)
ICLOAD95.EXE
ICSUPP95.EXE
ICLOADNT.EXE Likely Sophos Antivirus Win NT
ICSUPPNT.EXE Likely Sophos Antivirus Win NT
AtGurad Personal Firwall
IAMAPP.EXE
IAMSERV.EXE
Y otras aplicaciones de seguridad:
APLICA32.EXE
ESAFE.EXE = Aladdin Knowledge Systems
LOCKDOWN2000.EXE = LockDown 2000
SAFEWEB.EXE
TDS2-98.EXE TDS-2 Trojan Defense Suite Win 98
TDS2-NT.EXE Trojan Defense Suite Win NT
WEBSCANX.EXE
ZONEALARM.EXE = ZoneLabs ZoneAlarm
Desinfección:
McAfee AVERT
Manualmente:
Eliminar la clave del registro ya mencionada.
Borrar el archivo GONE.SCR de cualquier parte del sistema.
Borrar mIRC e ICQ.
