www.viasegre.com

 < < HOME

 < VIRUS WARNING

 EMAIL E FALSI
 DSN, cellulari gratis
 e donatori di midollo

 ROMA CAMPIONE
 d'Italia 2000/2001
 Le foto e altro...

 FANTACALCIO SBT
 S.Benedetto del
 Tronto 2002/03
 Il Forum all'interno!


Margin Walker


ROCCO Mailing List
ISCRIVITI alla
Mailing List
di Via Segre


I-WORM.GONER

Come infetta il tuo pc:
errore ma
gone.scr è installato
correttamente


Come funziona:
Outlook, ICQ,
e mIRC, più di
una porta aperta


Come eliminarlo:
il tool di
Symantec



Tutte le informazioni sono state raccole da esperienze personali e dall'AVP Virus Encyclopedia.


E' un worm scritto in Visual Basic 6.0, diffusosi dal 4 dicembre 2001, e di dimensioni di circa 38 KB.

COME INFETTA IL TUO PC

Il worm una volta eseguito mostra una finestra nella quale compare il seguente messaggio:

pentagone
coded by: suid
tested by: ThE_SKuLL and satan
greetings to: TraceWar, k9-unit, stef16, ^Reno.
greetings also to nonick2 out
there where ever you are

Quindi simulando un errore "Error While Analyze DirectX!" esegue la sua installazione, copiandosi nella cartella SYSTEM di Windows con il nome gone.scr. Il worm modifica quindi il registro di sistema tentando di cancellare i file relativi ai prodotti antivirus e firewall più diffusi, e creando per eseguirsi automaticamente al riavvio la stringa seguente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run\C:\WINDOWS\SYSTEM\GONE.SCR
=C:\WINDOWS\SYSTEM\GONE.SCR


COME FUNZIONA

Il worm può diffonde attraverso Outlook e ICQ. Come tutti i worm invia se stesso agli indirizzi presenti nella rubrica di Outlook, sotto forma di file gone.scr allegato alle email. I messaggi hanno per oggetto "Hi", e il corpo è costituito dal messaggio in inglese "How are you? When I saw this screen saver, I immediately thought about you. I am in harry, I promise you will love it!". Il worm sfrutta infatti una delle estensioni maggiormente utilizzate dai virus, quella cioè degli screensaver.
Se nel vostro pc è installato ICQ, uno dei programmi più vulnerabili della rete, il worm invia una richiesta di trasferimento file ai contatti presenti nel programma, e si auto-invia, sotto eventuale approvazione del destinatario.

Ma ICQ non è il solo programma a rischio. Il worm infatti cerca una copia del popolarissimo mIRC, ricercando la presenza del file mirc.ini. Se trova questo file installa degli script creando il file remote32.ini, e mandandolo in esecuzione tramire il file mirc.ini. Gli script hanno la funzione di aggiungere un utente al canale #pentagonex sul server twisted.ma.us.dal.net, selezionato dal worm, allo scopo di creare una backdoor per permettere in attacchi di tipo DOS (Denial of Service) di assumere il controllo del pc.

Il worm inoltre tenta di terminare diversi processi attivi sul sistema, e di eliminare, come già detto, i file relativi a antivirus più comuni, e quando fallisce crea il file wininit.ini in modo che il sistema permetta di eliminarli al successivo avvio.

POSSIBILI SOLUZIONI

Uno dei tool più efficaci per rimuovere W32.Goner.A@mm viene fornito da Symantec all'url:

http://www.symantec.com/avcenter/venc/data
/w32.goner.a@mm.removal.tool.html



www.davidscerrati.too.it