Af Anonym, 11/10/16
Artiklen blev oprindeligt publiceret den 5/12/2001
Der er konstateret en ny orm og den ses i stort antal i Danmark. Ormen er meget destruktiv, da den aktivt søger efter en mængde programmer - af sikkerhedsmæssig karakter - og sletter dem, for selv at få frit råderum.Ormen forsøger at sende sig selv til alle i en Outlook adressebog, og forsøger ligeledes at sende sig selv til alle i en ICQ kontaktliste.
Ormen ankommer i en e-mail der ser således ud:
Emne: Hi
How are you ?
When I saw this screen saver , I immediately thought about you
I am in a harry, I promise you will love it!
Vedhæftet fil: gone.scr
Afvikles den vedhæftede fil vil der åbnes et vindue med titlen 'About', hvori der findes forskellige akkreditiver. Herefter vises en falsk fejlmeddelelse 'Error While Analyze DirectX!', der kun kan accepteres.
Ormen leder i hukommelsen efter om en eller flere af følgende processer kører:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
APLICA32.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
IAMSERV.EXE
IAMAPP.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Findes en af de nævnte processer, afsluttes den. Det katalog processen er kørt fra bliver derpå slettet. Bliver ormen nægtet adgang til en eller flere af de pågældende filer, bliver det registreret, således at ormen kan forsøge at slette dem næste gang maskinen startes.
Et specifikt mål for ormen er 'C:\Safeweb, der, hvis fundet, slettes.
Ormen kopierer sig selv som 'gone.scr' til Windows' systemkatalog og tilføjer følgende nøgle i registreringsdatabasen:
%System%\gone.scr
til
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
og giver nøglen værdien
"%System%\gone.scr"
Finder ormen programmet mIRC på maskinen, oprettes filen 'remote32.ini'. Der skabes referencer til denne fil i 'mirc.ini' og herefter kan maskinen avendes i et DoS (Denial of Service) angreb på andre maskiner.
Et opdateret antivirusprogram vil være i stand til at fange ormen, men skulle skaden være sket har blandt andet Computer Associates et værktøj til at fjerne ormen.