Nejvíc se zatím šíří ve Velké Británii, Spojených státech a Německu. Ovšem v síti vzdálenosti nehrají žádnou úlohu a proto lze jeho výskyt očekávat brzo i u nás.
Červ byl objeven včera a hned se začal rychle šířit. Podle
MessageLabs je již na druhém místě v žebříčku nejvíce se šířících červů za posledních dvacet čtyři hodin, hned za červem
W32/BadTrans.B-mm. V době psaní článku byl MessageLabs blokován v 3 700 případech.
W32/Goner.A@mm je napsán ve Visual Basicu a rozesílá se tradičně pomocí poštovního klienta Microsoft Outlook, novinkou je možnost šíření i pomocí ICQ. Červ je rozesílán jako "zajímavý" spořič obrazovky a je komprimován pomocí programu UPX. Zkomprimovaný má velikost 39 kB po dekomprimaci se jeho velikost zvětší na 159 kB. Pokud máte nainstalován program mIRC pro IRC komunikaci může červ vložit na váš počítač skript, který umožní zneužít váš počítač k "Denial of Service" útokům.
Pozor tedy na e-maily s:
Hlavičkou: Hi
Tělem: How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
Přílohou: GONE.SCR
Pokud červa spustíte zobrazí se vám takovéto okno:
Ihned poté se červ odešle všem uživatelům, které najde v adresáři vašeho Outlooku.
Následně se červ zkopíruje do C:\%SYSTEM%\gone.scr a C:\%SYSTEM%\gone.scr a přidá klíč do registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ C:\%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR%\SYSTEM\gone.scr
Poté co je vytvořen klíč v registrech se červ pokusí vymazat všechny antivirové programy a firewally běžící na počítači. Pokud se mu to nepodaří (inkriminované programy běží) zhotoví červ soubor %SYSTEM%\Wininit.ini, který vymaže tyto programy po restartu počítače.
Červ vyhledává tyto soubory:
APLICA32.EXE, ZONEALARM.EXE, ESAFE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, PCFWallICON.EXE, FRW.EXE, VSHWIN32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, LOCKDOWN2000.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE
Pro šíření pomocí ICQ potřebuje červ k "správné" funkci najít odpovídající verzi .DLL souborů programu ICQ. Pokud je najde vypne všechna oznámení programu ICQ, rozešle se všem online "kontaktům" a nakonec opět povolí hlášky programu ICQ.
Jak už jsem zmínil hned na začátku. V případě, že máte nainstalován program mIRC může červ vložit na váš počítač skript pro zneužití počítače k "Denial of Service" útokům.
Úplně nakonec červ zobrazí hlášku:
Červ je to nový a jak vidíte poměrně nebezpečný. Informace se teprve shromažďují, při nalezení nových zpráv vás budeme zavčas informovat.
Naštěstí tento červ podle všeho nezneužívá žádné chyby nějakého programu k automatickému rozesílání. Musíte ho sami spustit! Tudíž vřele doporučuji nespouštět žádné spořiče obrazovky zaslané e-mailem, i když jsou od přátel.