La nuova minaccia, che si sta propagando a macchia d’olio, si diffonde anche tramite l’instant messaging Icq e, una volta installatosi sul compter, tenta di bloccare e cancellare alcuni sistemi di protezione
Non è ancora passato l’allarme per la recrudescenza di Badtrans che già
arriva un’altra minaccia, che è rappresentata da un nuovo worm chiamato Goner. E
a quanto sembra è una minaccia ancor più pericolosa delle precedenti, perché il
nuovo virus può arrivare sia tramite la posta elettronica sia attraverso
programma per l’instant messaging Icq. Inoltre sembra sia capace di aggirare un
insieme di sistemi di protezione.
Nel caso Goner si propaghi attraverso l’e-mail si riceve un messaggio con la
seguente struttura:
Soggetto: Hi
Corpo del testo:
How are you
?
When I saw this screensaver, I immediately thought about you
I
am in a harry, I promise you will love it!
Allegato: GONE.SCR (di circa 39 KB)
Se viene aperto l’allegato, si attiva una finestra di dialogo animata e il
virus crea una copia di sé all’interno della cartella c:\windows\system e si
installa come processo di servizio nel registro di Windows.
Come detto, quello che però differenzia in modo sostanziale il nuovo virus
dagli altri worm è il fatto che oltre a sfruttare la rubrica di Windows per
reperire gli indirizzi a cui autoinviarsi, Goner si diffonde anche attraverso
Icq, inviando una richiesta di trasferimento file ai contatti memorizzati.
Ma non solo. Le insidie di Goner proseguono con la capacità di individuare e
terminare una serie di processi di antivirus e di firewall volti alla protezione
del computer, come per esempio lo scanner real time Vshield di McAfee, Avp,
ZoneAlarm, LockDown. Qui di seguito potete trovare l’elenco completo.
APLICA32.EXE
AVCONSOL.EXE
AVP32.EXE
AVP.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FEWEB.EXE
FRW.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
ZONEALARM.EXE
Goner tenta anche di cancellare questi file e, nel caso non ci riesca, crea
un file wininit.ini che ha lo scopo di ritentare l’eliminazione fallita al
successivo riavvio del computer.
Al momento, non sembra che il virus comporti particolari altri problemi né
per i dati memorizzati sull’hard disk né per le applicazioni.
A parte l’ovvio consiglio di aggiornare al più presto le definizioni dei
virus dell’antivirus usato, nel caso il proprio computer sia stato infettato da
Goner è possibile rimuovere il worm manualmente. A tal fine riportiamo la
procedura consigliata da Trend Micro. Ricordiamo però che, siccome bisogna agire
sul registro di Windows, ossia sul cuore del sistema, è bene che l’operazione
sia eseguita da persone con una certa competenza, altrimenti si rischia di
danneggiare definitivamente il sistema operativo.
Per ripulire i sistemi con Windows 95/98/Me
– Far ripartire il computer
– Prima che appaia il logo di Windows premere
F8
– Scegliere l’opzione Prompt dei comandi in modalità
provvisoria
– Andare alla directory System. Solitamente è localizzata in
C:\windows\system. – Se così è bisogna digitare cd c:\windows\system e
premere invio
– Al prompt dei comandi digitare attrib -s -h -r
gone.scr e poi premere invio
– Digitare quindi del
gone.scr e quindi premere invio
– A questo punto bisogna riavviare il
computer
– Cliccare su Start e selezionare Esegui
–
Digitare Regedit
– Fare doppio clic su
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>%System%
–
Cancellare tutti I file denominati Remote32.ini nelle cartelle dei
programmi di mIRC (Instant Relay Chat)
– Cancellare il file Mirc.ini
o effettuare il restore di questo file da una copia di back up.
Per ripulire i sistemi con Windows NT/2000
– Interrompre tutte le istanze del worm all’interno del task manager. Cercare
tutte le applicazioni chiamate pentagone e i processi chiamati
gone.scr e bloccare tutti questi processi.
– Effettuare la scansione
del sistema con un antivirus aggiornato
– Rimuovere la chiave di registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\%System%\gone.scr
–
Cancellare tutti I file denominati Remote32.ini nelle cartelle dei
programmi di mIRC (Instant Relay Chat)
– Cancellare il file Mirc.ini
o effettuare il restore di questo file da una copia di back up.
