Sophos

W32/Goner-A

Alias
  • I-Worm.Goner
  • Gone
  • W32/Goner@MM
  • Pentagone
  • pentagon
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Incluido en nuestros productos desde Enero 2002 (3.53)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Vea la información (en inglés) para realizar la desinfección de W32/Goner-A.

Más información

W32/Goner-A se propaga por email en forma de archivo adjunto con el nombre GONE.SCR, supuestamente un protector de pantalla. El gusano llega en un email con estas características:

Asunto: Hi

Mensaje:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

W32/Goner-A intentará inhabilitar el programa antivirus instalado en el equipo infectado. Comprobará si alguno de los siguientes procesos se encuentra activo:

_AVP32.EXE,
_AVPCC.EXE,
_AVPM.EXE,
APLICA32.EXE,
AVCONSOL.EXE,
AVP.EXE,
AVP32.EXE,
AVPCC.EXE,
AVPM.EXE,
CFIADMIN.EXE,
CFIAUDIT.EXE,
CFINET.EXE
CFINET32.EXE,
ESAFE.EXE,
FRW.EXE,
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE,
ICLOADNT.EXE,
ICMON.EXE,
ICSUPP95.EXE,
ICSUPPNT.EXE,
LOCKDOWN2000.EXE,
NAVAPW32.EXE,
NAVW32.EXE,
PCFWallIcon.EXE,
TDS2-98.EXE,
TDS2-NT.EXE,
SAFEWEB.EXE.
VSHWIN32.EXE,
VSECOMR.EXE,
VSSTAT.EXE,
WEBSCANX.EXE,
ZONEALARM.EXE.

Cualquiera de estos procesos activo será cerrado y se borrarán todos los archivos del directorio que contenga alguno de esos archivos. Se creará un archivo llamado wininit.ini que se ejecutará en el inicio de Windows y que hará que se borre cualquier archivo que haya quedado en esos directorios.

Sophos recomienda comprobar que los equipos afectados disponen de una versión completa y actualizada de Sophos Anti-Virus.

También se borrarán todos los archivos del directorio C:\SAFEWEB\

El gusano también infecta el programa de chat mIRC mediante el script REMOTE32.INI que, tras ser incluido en el archivo MIRC.INI, se ejecutará cuando el usuario abra el programa.

El gusano también se propaga utilizando el programa de mensajería instantánea ICQ.

Se creará una copia de gone.scr en el directorio System de Windows y se creará la siguiente clave en el registro para asegurar su ejecución en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

La primera vez que se ejecuta, el gusano muestra una imagen y, a continuación, un mensaje como si se hubiera producido algún error, haciendo creer así que se trata de un protector de pantalla de verdad pero que existe algún problema de compatibilidad.

Imagen mostrada por W32/Goner-A

Mensaje de error de W32/Goner-A

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes