Wurm WORM_GONE.A breitet sich per E-Mail und ICQ aus

Der Virus ist an der Betreffzeile "Hi" und dem folgenden Mailbody zu erkennen: "How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!!

Die E-Mail enthält darüber hinaus einen Anhang mit dem Namen "Gone.scr". Durch Doppelklick wird die angehängte Datei ausgeführt. Den Doppelklick sollte man natürlich nicht ausführen.

Dann schreibt sich der Virus unter HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run als Eintrag C:WinntSystem32gone.scr "C:WinntSystem32gone.scr" ein. Im Task Manager wird eine Anwendung namens pentagon gestartet und ausgeführt. Als Prozess wird gone.scr gestartet. Nach Angaben von Sophos versucht der Schädling außerdem durch Löschen von Dateien einige Antivirentools anzugreifen und sie unschädlich zu machen.

Nach folgenden Dateien werden die von WORM_GONE.A befallenden Systeme untersucht:

• IAMAPP.EXE
• IAMSERV.EXE
• CFINET.EXE
• APLICA32.EXE
• ZONEALARM.EXE
• ESAFE.EXE
• CFIADMIN.EXE
• CFIAUDIT.EXE
• CFINET32.EXE
• PCFWALLICON.EXE
• FRW.EXE
• VSHWIN32.EXE
• VSECOMR.EXE
• WEBSCANX.EXE
• AVCONSOL.EXE
• VSSTAT.EXE
• NAVAPW32.EXE
• NAVW32.EXE
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
• AVP32.EXE
• AVPCC.EXE
• AVPM.EXE
• AVP.EXE
• ICLOAD95.EXE
• ICMON.EXE
• ICSUPP95.EXE
• ICLOADNT.EXE
• ICSUPPNT.EXE
• TDS2-98.EXE
• TDS2-NT.EXE
• SAFEWEB.EXE