Virus Goner win32

Informatica

ALTE DOCUMENTE

xpert advices

CD si DVD in ziua de azi

Windows XP - Tu decizi ce mesaje de eroare sa vezi in XP

FOX PRO - BAZE DE DATE

DIAGRAME DE FLUX PIZZA - diagrame de flux

REŢELE DE COMUNICAŢII PRIN CABLU

Instalarea pachetului de programe Winmentor

Mesaje IVR limba engleza

Introducere în Windows 95

VirtualDub 1.4b

Nume: Win32.Gone.A@mm
Alias: W32/Goner.A@mm
Tip: Mass Mailer executabil si vierme de Script scris in Visual Basic 6
Lungime de cod: 38912 bytes
Descoperit: 12-04-2001
Detectat: 12-04-2001 16:30 (GMT+2)
Raspandire: Medie
Risc: Scazut
ITW: Da

Sintome:
- Apare fisierul Gone.scr in di 242s1822c rectorul %WINSYS%
- Cheia: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%WINSYS%\gone.scr cu valoarea %WINSYS%\gone.scr
- Fisierul Remote32.ini in directorul MIRC (numai daca MIRC este instalat pe sistem)

Descriere Tehnica:
Mesajul mail vine in urmatoarea forma:

Subject:
Hi
Body:
How are you ?
When I saw this screen saver, I immediately thought about you.
I am in a harry, I promise you will love it.
Attachment:
Gone.scr
Pe ICQ sau mIRC vine ca o cerere de transfer.

Dupa ce viermele este executat (atasamentul sau fisierul transferat) va aparea o fereastra animata si una de dialog. In timp ce acestea doua sunt pe ecran, virusul va scana hard drive-ul penru a gasi programe antivirus sau firewall-uri. Daca gaseste ceva va crea un fisier wininit.ini (pentru Win9x) si va si va adaoga comanda de [remove] pentu cat de multe fisiere Nul=filename pe care le va gasi pe hard disk. In acest fel la restartarea calculatorului toate acestea vor fi sterse.
Daca OS-ul nu este Win9x le va sterge la restart folosindu-se de registrii.

Dupa aceea va incerca sa stearga acele programe din memorie pentru a se asigura ca va avea acces nerestrictionat la internet.
Pentru a fi sigur ca se va pornii la restart, va adaoga urmatoarele chei in registrii:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%WINSYS%\gone.scr cu valoarea %WINSYS%\gone.scr
Viermele pune fisierul remote32.ini in diectorul Mirc si adaoga referinta catre mirc.ini. Fisierul va fi responsabil de raspnadirea virusului pe mIRC.
Dupa ce ia toate adresele din Outlook se ve trimite in acelasi format la fiecare.
Dupa ce termina acest proces va cauta sa vada daca ICQ-ul este instalat si va incerca sa se raspandeasca folosind lista de contcte ICQ, prin protocolul de transer ICQ.

Dezinfectie:
Manuala:
- Se sterge fisierul gone.scr din Windows\System
- Se stergecheia %WINSYS%\gone.scr din HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Se sterge fisierul remote32.ini din directorul Mirc
Dezinfectie automata:
- Porniti BitDefender cu specificatia de a sterge toate fisierele infectate pe care le gaseste

Document Info

Accesari: 1595
Apreciat:

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta

Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site

Copiaza codul:
in pagina web a site-ului tau.

eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate | Termenii si conditii de utilizare