Goner
est un virus de mail écrit en Visual Basic puis compressé,
capable de se propager en utilisant les messageries Microsoft
Outook et le logiciel de chat ICQ. Il se présente sous
la forme d'un message dont le sujet est "Hi", le
contenu "How are you ? When I saw this screen saver,
I immediately thought about you I am in a harry, I promise
you will love it!", accompagné d'un fichier joint
nommé GONE.SCR (écran de veille) de 38 Ko.
Si
le fichier joint est exécuté, le virus se copie dans le répertoire
System de Windows, modifie la base de registre pour s'exécuter
automatiquement au prochain démarrage, s'envoie automatiquement
à tous les correspondants présents dans le carnet
d'adresses Outlook, s'envoie à tous les contacts ICQ
connectés, tente de supprimer un certain nombre d'antivirus
et de firewalls (AVP, Norton Antivirus, ESafe, ZoneAlarm,
etc.), puis enfin affiche un message d'erreur ("Error
While Analyze DirectX!").
Détails des applications supprimées par le virus
:
IAMAPP.EXE de AtGuard Personal Firewall
IAMSERV.EXE de AtGuard Personal Firewall
APLICA32.EXE ZONEALARM.EXE de ZoneLabs ZoneAlarm
ESAFE.EXE de eSafe, Aladdin Knowledge Systems
CFIADMIN.EXE de ConSeal PC Firewall
CFIAUDIT.EXE de ConSeal PC Firewall
CFINET.EXE de ConSeal PC Firewall
CFINET32.EXE de ConSeal PC Firewall
PCFWallIcon.EXE de ConSeal PC
Firewall FRW.EXE de ConSeal PC
Firewall VSHWIN32.EXE de McAfee VirusScan
VSECOMR.EXE de McAfee VirusScan
WEBSCANX.EXE de McAfee VirusScan
AVCONSOL.EXE de McAfee VirusScan
VSSTAT.EXE de McAfee VirusScan
NAVAPW32.EXE de Norton AntiVirus
NAVW32.EXE de Norton AntiVirus
_AVP32.EXE de AVP Scanner
_AVPCC.EXE de AVP Control Centre Application
_AVPM.EXE de AVP Monitor
AVP32.EXE de AVP Scanner
AVPCC.EXE de AVP Control Centre Application
AVPM.EXE de AVP Monitor
AVP.EXE de AntiViral Toolkit Pro (AVP)
LOCKDOWN2000.EXE de LockDown 2000
ICMON.EXE de Sophos Antivirus Monitor
ICLOAD95.EXE de Sophos Antivirus pour Windows 95
ICSUPP95.EXE de Sophos Antivirus pour Windows 95
ICLOADNT.EXE de Sophos Antivirus pour Windows NT
ICSUPPNT.EXE de Sophos Antivirus pour Windows NT
TDS2-98.EXE de TDS-2 Trojan Defense Suite
TDS2-NT.EXE de TDS-2 Trojan Defense Suite
SAFEWEB.EXE de Safeweb
Goner
installe enfin une backdoor permettant de lancer des attaques
par déni de service (DoS). Contrôlée par IRC
au travers de l'application mIRC, elle ne représente
plus aucun danger car les canaux concernés ont été
fermés.
En cas
d'infection, exécutez l'utilitaire FIXGONER
(cliquez sur le bouton "Start" pour commencer),
redémarrez l'ordinateur, puis exécutez une nouvelle
fois l'utilitaire pour être certain de l'absence du
virus. Réinstallez ensuite votre antivirus et votre
firewall. Procédure manuelle : supprimez les fichiers
GONE.SCR (ou ceux détectés comme étant
Goner.A),
puis supprimez l'entrée contenant Gone.scr dans la
clé HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
Current Version\ Run de la base de registres (uniquement si
vous savez comment procéder), puis redémarrer
l'ordinateur.
Télécharger
l'utilitaire FIXGONER (Symantec) pour éliminer
le virus
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Cinq
inculpations en Israël dans l'affaire du virus-ver
Goner
07/08 - ZDNet (lire
l'article)
Des
fauteurs de virus arrêtés
11/12 - Libération (lire
l'article)
Goner:
quatre israéliens arrêtés
09/12 - Branchez-vous! (lire
l'article)
Le
virus Gone se propage à la vitesse de 'I Love You'
05/12 - VNUNet (lire
l'article)
Gone,
un nouveau virus déguisé en économiseur
d'écran
04/12 - 01net (lire
l'article)
|