Ein E-Mail-Wurm verbreitet sich in einem Attachment mit dem Namen "GONE.SCR" und dem Subject "Hi".

Betroffene Systeme

• Microsoft Windows

Einfallstor

• E-Mail Nachricht
• ICQ-Netzwerk

Auswirkung

• Der Wurm kopiert sich selbst nach %System%\GONE.SCR
• Der Wurm nimmt folgenden Registrierungseintrag vor: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%System%\gone.scr = %System%\gone.scr
• Der Wurm versendet sich an alle Eintragungen der Adressliste von MS Outlook Applikationen
• Bei Verwendung von mIRC installiert der Wurm mittels einer REMOTE32.INI-Datei eine Hintertür in mIRC, durch die Denial of Service (DOS) Angriffe gegen IRC erfolgen
• Bei Verwendung von ICQ verbreitet sich der Wurm mittels der ICQAPI an alle Benutzer des ICQ Chat-Netzwerks, die momentan Online sind
• Der Wurm nimmt Veränderungen in der WININIT.INI-Datei vor, um seine Existenz zu verschleiern
• Der Wurm beendet Prozesse mit folgenden Namen und entfernt alle Dateien in den Verzeichnissen, in denen diese Programme vorgefunden werden:
  • IAMAPP.EXE
  • IAMSERV.EXE
  • CFINET.EXE
  • APLICA32.EXE
  • ZONEALARM.EXE
  • ESAFE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFINET32.EXE
  • PCFWALLICON.EXE
  • FRW.EXE
  • VSHWIN32.EXE
  • VSECOMR.EXE
  • WEBSCANX.EXE
  • AVCONSOL.EXE
  • VSSTAT.EXE
  • NAVAPW32.EXE
  • NAVW32.EXE
  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPM.EXE
  • AVP.EXE
  • ICLOAD95.EXE
  • ICMON.EXE
  • ICSUPP95.EXE
  • ICLOADNT.EXE
  • ICSUPPNT.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • SAFEWEB.EXE

Typ der Verwundbarkeit
Virus (Email-Wurm)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Verschiedene Anti-Virenhersteller weisen darauf hin, daß sich momentan ein E-Mail-Wurm mit der Bezeichnung "GONE" massiv verbreitet.
Der Betreff der E-Mail in der er sich verbereitet lautet: "Hi"
Der enthaltene Text lautet: "How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!"
Die Nachricht enthält ein Attachment GONE.SCR, in der sich eigentliche Code des Wurmes befindet. Der Wurm besitzt eine Größe von 38,912 Bytes.

Wird das Attachment ausgeführt so erscheint ein Textfenster mit folgendem Inhalt:

pentagone
coded by: suid 
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out there where ever you are

Entfernung des Wurms

• Windows 9x/ME
  • Reboot des Systems
  • mittels F8 in den Command prompt only booten
  • in das %System%-Verzeichnis wechseln (normalerweise cd Windows\System)
  • attrib –s –h –r gone.scr ausführen
  • del gone.scr ausführen
  • Reboot des Systems
  • Mittels regedit den Registry-Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%System% wechseln und etwaigen gone.scr-Eintrag entfernen
• Windows NT/2000
  • Mittels CD die repair install console booten
  • in das %System%-Verzeichnis wechseln (normalerweise cd Windows\System)
  • attrib –s –h –r gone.scr ausführen
  • del gone.scr ausführen
  • Reboot des Systems
  • Mittels regedit den Registry-Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\%System% wechseln und etwaigen gone.scr-Eintrag entfernen

Gegenmaßnahmen

• Installieren sie die aktuellen Anti-Virus-Updates.
  Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter
  • http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)
  • McAfee DAT 4174

Workaround für Mailserver-Administratoren

• Filterung aller Attachments mit dem Namen GONE.SCR
• Content-Filterung auf: When I saw this screen saver

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Bekannte Aliases

• GONE.A
• WORM_GONE.A (TrendMicro)
• W32.Goner.A@mm (Symantec)
• I-Worm.Goner
• Pentagone
• Pentagon

Weitere Information zu diesem Thema

• TrendMicro
• Sophos
• Symantec
• F-Secure
• NAI/McAfee

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/