Wurm WORM_GONE.A breitet sich per E-Mail und ICQ aus

Outlook diesmal nicht die einzige Brutstätte; Lösch-Tool erhältlich. Wieder einmal ist ein Schädling aufgetaucht, der sich rasant verbreitet, melden unisono alle führenden Antivirenspezialisten. WORM_GONE.A ist ein Massmailer, der sich automatisch an alle Einträge im Outlook-Adressbuch verschickt. BitDefender bietet bereits ein kostenloses Tool an, um den Wurm vom Rechner zu löschen.

5. Dezember 2001 um 07:16 Uhr / Andreas Donath

Kommentare News folgen (öffnet im neuen Fenster)

Der Virus ist an der Betreffzeile "Hi" und dem folgenden Mailbody zu erkennen: "How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!!

Die E-Mail enthält darüber hinaus einen Anhang mit dem Namen "Gone.scr". Durch Doppelklick wird die angehängte Datei ausgeführt. Den Doppelklick sollte man natürlich nicht ausführen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking: Strategien für Plattform und Systemsicherheit (E-Learning)

zum Kurs

Dann schreibt sich der Virus unter HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run als Eintrag C:WinntSystem32gone.scr "C:WinntSystem32gone.scr" ein. Im Task Manager wird eine Anwendung namens pentagon gestartet und ausgeführt. Als Prozess wird gone.scr gestartet. Nach Angaben von Sophos versucht der Schädling außerdem durch Löschen von Dateien einige Antivirentools anzugreifen und sie unschädlich zu machen.

Nach folgenden Dateien werden die von WORM_GONE.A befallenden Systeme untersucht:

IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Nach Angaben von Kaspersky Labs versucht Goner sich auch über ICQ zu verbreiten, indem es die Liste der Online-User überwacht und versucht, diesen das wurminfizierte File zuzuschicken. Der Wurm versucht sich zudem durch regelmäßige Überwachung und darauffolgendes Schließen von ICQ-Dialogboxen zu verbergen.

Darüber hinaus soll der Wurm den IRC-Channel #pentagonex zuspammen. Dazu startet der Wurm ein zusätzliches Script auf dem Wirtsrechner, das regelmäßig neue User für diesen Channel mit zufällig erzeugten Namen kreiert.

Alle Virenbekämpfer bieten über ihre Update-Services mittlerweile Gegengifte zum Download an.

Außerdem bietet der Software-Hersteller BitDefender mit AntiGone.exe ein kostenloses Tool zum Download(öffnet im neuen Fenster) an, um den Wurm zu löschen.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen