News 05.12.2001, 03:00 Uhr

W32.Goner.A

Der Wurm verbreitet sich sowohl via E-Mail als auch über ICQ recht schnell und versucht, installierte Antivirus-Programme zu löschen.
Schon am ersten Tag seiner Entdeckung (04.12.2001) verbreitete sich der Goner-Wurm überraschend schnell, weshalb zahlreiche Antivirus-Hersteller Alarm geblasen und den Wurm als "High Risk" eingestuft haben.
Die meisten Exemplare haben sich offenbar über eine E-Mail verbreitet, die diese Merkmale trägt:
------------
Betreff: Hi
Beilagenname: gone.scr
Mail-Text:
How are you ?
When I saw this screen saver, I immediately thought about you I
am in a harry, I promise you will love it!
------------
Wird die Mail-Beilage (gone.scr) durch den Benutzer gestartet (doppelgeklickt), wird der PC infiziert. Hierzu legt der Wurm eine Kopie von gone.scr im Windows System-Ordner ab und trägt sie in die Windows Registry ein, damit die Datei bei jedem PC-Start geladen wird. Und zwar liegt der Eintrag...
... in diesem Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
... als Datei:
C:\[Windows-Ordner]\SYSTEM\gone.scr=C:\[Windows-Ordner]\SYSTEM\gone.scr
Nach dem automatischen Versand an alle Adressen im Outlook-Adressbuch zeigt der Wurm zwei Fenster an.
Erstes Fenster:
pentagone
coded by: suid
tested by: ThE_SKuLL and satan
greetings to: TraceWar,k9-unit, stef16,
^Reno.
greetings also to nonick2 out
there where ever you are
Zweites Fenster (als Fehlermeldung):
Error While Analyze DirectX!
Screenshots der beiden Fenster finden Sie z.B. in der Virenbeschreibung von McAfee [1].
Bei Benutzern, auf deren PC das Messenger-Programm ICQ installiert ist, versucht der Wurm sich auch über diesen Weg zu verbreiten: Goner kopiert eine Datei namens ICQMAPI.DLL in den Windows-System-Ordner und überprüft die ICQ-Kontakte, die er in der Kontaktliste des befallenen PCs als "online" erkennt. An diese versucht er sich zu verschicken. Er unterdrückt ICQ-System-Meldungen auf dem infizierten PC, um seinen ICQ-Versand zu vertuschen.
Nicht zuletzt greift er einen allenfalls vorhandenen IRC-Dienst an (Internet Relay Chat), indem er auf dem infizierten PC eine Art Trojaner einpflanzt. Dieser öffnet im PC eine Hintertüre und versucht eine "Denial of Service"-Attacke auf einen bestimmten IRC-Kanal namens #pentagonex zu starten. Das bewerkstelligt er durch die Kreation einer Datei REMOTE32.INI und durch ein Abändern der IRC-Datei namens SCRIPT.INI. Auf diesem Kanal werden dann durch den infizierten PC laufend neue Benutzer mit zufällig gewählten Namen erzeugt, was die regulären Benutzer des genannten IRC-Kanals ärgert und zur Überlastung des Kanals führen kann.
Ausser diesem Angriff auf IRC geht der Wurm gezielt gegen Antiviren-Software vor. Er sucht nach den folgenden aktiven Tasks, die zu verschiedensten Antiviren-Programen gehören können, und beendet sie:
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FEWEB.EXE
FRW.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
NAVW32.EXE
PCFWallIcon.EXE
PW32.EXE
SAFEWEB.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE
Zusätzlich löscht er alle Dateien, die er im selben Ordner wie diese Programm-Dateien oder gar in deren Unterordnern findet. Wenn der Goner-Wurm die Dateien nicht löschen kann, kreiert er eine Datei namens WININIT.INI, um die Dateien beim nächsten Windows-Start zu entfernen.
Wie üblich, gestaltet sich die Prävention gegen den Wurm viel einfacher als seine Bekämpfung:
Trauen Sie keinen Mailbeilagen oder per ICQ oder IRC übermittelten Dateien, die Sie nicht erwartet haben, insbesondere, wenn es sich um SCR-Dateien handelt. Bringen Sie Ihren Virenscanner auf den neuesten Stand und scannen Sie damit jede Datei, die auf Ihrem PC eintrifft, bevor Sie sie öffnen/ausführen. Bei gewissen Antivirus-Herstellern kann es etwas länger dauern, bis die Updates auch diesen Wurm erkennen. Fragen Sie also im Zweifelsfall den Absender einer Datei, ob der Versand beabsichtigt war und um was für eine Datei es sich handelt.
Gemäss Sophos können Sie den Wurm (unter Win95/98) so entfernen:
Auf PCs mit Windows 95/98/Me:
1. Laden Sie die Datei rmgonera.bat herunter, die Sie bei Sophos [2] finden.
2. Starten Sie diese Datei durch Doppelklick. Damit werden aus der Registry die Änderungen entfernt, die der Wurm angelegt hat.
3. Wenn die Datei rmgonera.bat den (schnellen) Job beendet hat, starten Sie den PC neu.
4. Nach dem Neustart doppelklicken Sie die Datei rmgonera.bat noch einmal. Dies wird die vom Wurm angelegten Dateien entfernen.
5. Stellen Sie sicher, dass Ihr Antivirus-Programm noch immer installiert ist und korrekt läuft, denn der Wurm versucht ja Antivirus-Programme zu deaktivieren und deren Dateien zu löschen. Falls Ihr Virenscanner jetzt nicht mehr läuft, installieren Sie ihn neu und führen Sie (gem. Handbuch/Hilfedateien) ein Update durch, damit er auf dem neuesten Stand ist.
6. Scannen Sie alle Dateien auf allen Festplatten, um sicherzustellen, dass keine Wurm-Dateien übrig geblieben sind.
Auf PCs mit Windows NT/2000/XP
1. Laden Sie die Datei rmgonera.bat herunter, die Sie bei Sophos finden (siehe Punkt 1 oben).
2. Führen Sie den "Task Manager" aus, indem Sie ihn entweder aus dem Startmenü starten oder via "CTRL-ALT-DELETE". Gehen Sie darin zum Register "Anwendungen" (oder Programme), klicken Sie "Pentagone" an und anschliessend die Schaltfläche "Task beenden". Vielleicht müssen Sie das Beenden dieses Tasks noch einmal mit OK bestätigen.
3. Starten Sie die Batchdatei rmgonera.bat, die Sie vorhin heruntergeladen haben
4. Stellen Sie sicher, dass Ihr Virenscanner noch läuft (siehe Punkt 5 oben)
5. -> siehe Punkt 6 oben
Informationen finden Sie auch in den Virenbeschreibungs-Datenbanken von Kaspersky Labs [3], Sophos [4], TrendMicro [5], F-Secure [6] und Symantec [7].



Kommentare
Es sind keine Kommentare vorhanden.