Goner ist ein Massen-Mail-Wurm in Visual-Basic geschrieben. Er wurde am 4. Dezember 2001 entdeckt.

Hinweis: Obwohl viele andere Anti-Viren-Hersteller Goner auf eine sehr hohe Risiko-Stufe gesetzt haben, bleibt F-SECURE/F-PROT bei der Stufe 2 (mäßig).

Es sind bisher nur eine begrenzte Anzahl von Beispielen dieses Wurms eingegangen, der Virus hat keine zerstörerische Funktion und es ist sehr leicht für den Benutzer ihn zu entdecken und sich vor ihm zu schützen.

Der Wurm verbreitet sich über Outlook E-MAIL Nachrichten als GONE.SCR-Anhang . Ausserdem kann er sich über ICQ ausbreiten, falls er ein System infiziert hat. Er installiert einige Skripte im MIRC-Client-Verzeichnis, die bestimmt IRC-Chat-Kanäle "fluten" können.

Goner versucht ebenfalls einige Sicherheits-Programme, wie Firewalls und Anti-Virenprogramme vom System zu löschen. Obwohl dieses schwerwiegend scheint, verhilft es dem Wurm nicht, sich auszubreiten: Der Wurm kann Sicherheits-Programme nur löschen, wenn er sich selbst starten kann.

Der Wurm ist eine PE EXE Datei ca. 39 KB groß und mit UPX gepackt. Ungepackt ist er ca. 145KB groß.

Wenn der Wurm gestarte wird, zeigt er eine Dialog-Box mit Grüßen und einigen Animationen. Dadurch will er sich selbst verbergen.. Dann zeigt er eine Nachrichten-Box mit einer falschen Mitteilung:

Error While Analyze DirectX!

Der Wurm kopiert sich als GONE.SCR in das Windows-System-Verzeichnis und versucht sich in die Registry mit einem Startup-Key einzutragen. Der Wurm läuft als Dienste-Prozeß (service process) und ist daher im Taskmanager nicht sichtbar.

Um sich auszubreiten, verbindet sich der Wurm mit dem Outlook Adressbuch, liest die E-MAIL-Adressen aus und sendet sich an alle dort gefundenen Adressen. Eine infizierte Nachricht sieht folgendermaßen aus:

Betreff: Hi

Text:
How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

Anhang (Attachment): Gone.scr

Der Wurm versucht außerdem, sich über ICQ zu versenden, falls er auf einem System installiert ist. Dabei nutzt er eine Standard-ICQ-Komponente. Der Wurm sendet eine Datei-Übertragungs Anfrage an ein System, das Online scheint, und falls der Benutzer des Systems der Übertragung zustimmt, sendet der Wurm sich selbst an diesen Kontakt. Dadurch können alle ICQ-Kontakte des infizierten Systems den Wurm erhalten.

Der Wurm sucht und beendet folgende Prozesse:

APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
CFINET.EXE
IAMSERV.EXE
IAMAPP.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Der Wurm löscht alle Dateien in den Verzeichnissen und Unterverzeichnissen, in denen die Datei gefunden wird, deren Prozess beendet wurde. Falls die Datei nicht gelöscht werden konnte, erstellt der Wurm die Datei WININIT.INI, die dafür sorgt, dass beim nächsten Windowsstart die Dateien gelöscht werden.

Der Wurm versucht außerdem das Verzeichnis C:\SAFEWEB\ zu löschen.

Mit den Signaturdateien ab 4.12.2001 wird Goner erkannt.

[Analyse: Alexey Podrezov; F-Secure Corporation, 4. Dezember 2001;
dt. Übersetzung @ntivirus-shop.com]