将死者（Worm.Goner）病毒解决方案

知识库编号： RSV0512293

内容分类： 蠕虫病毒

关键词： Worm.Goner;将死者

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

将死者（Worm.Goner）病毒资料及解决方案。

病毒介绍

病毒名称：Worm.Goner

病毒类型：网络蠕虫

病毒大小: 38912字节

该病毒本身是一个压缩文件 ，如果打开压缩文件，就会变成159KB的文件。此病毒是用Visual Basic编写，且经过压缩软件UPX压缩，反解压工具处理，使之用原始的UPX不能解压。由于是VB编写的病毒，它运行时就需要一个VB的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活，这些用户则会幸免于难。

病毒传播方式

(1).通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。

(2).通过IRC聊天工具传送病毒文件，插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击。

(3).通过ICQ聊天程序，判断ICQ的版本，如果版本正确则将自身发给在线的网友。

病毒特性

1）首先，弹出一个对话框：

2）将自身copy至Windows系统目录下，修改注册表：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run ％SystemDirectory％\\GONE.SCR = ％SystemDirectory％\\GONE.SCR

3）伪装成了一个屏幕护程序，开始传播.如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时，它会以如下方式显示：

邮件主题：Hi

邮件内容：How are you ?

When I saw this screensaver, I immediately thought about you

I am in a harry, I promise you will love it!

附件名称：GONE.SCR

4）此病毒还会搜索计算机里的反病毒软件，它首先检查内存中是否有如下程序：

APLICA32.EXE

AVCONSOL.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET32.EXE

ESAFE.EXE

FRW.EXE

FEWEB.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

LOCKDOWN2000.EXE

PCFWallIcon.EXE

PW32.EXE

TDS2-98.EXE

TDS2-NT.EXE

VP32.EXE

VPCC.EXE

VPM.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

VW32.EXE

WEBSCANX.EXE

ZONEALARM.EXE

若存在上述程序，病毒将会自动关闭它们，同时查找硬盘上对应文件所在目录，并删除该目录下的所有文件。若无法删除，病毒会修改wininit.ini文件以便在系统重启时删除文件。

5）如果被感染机器装了ICQ，则判断ICQ的版本，如果版本正确则将自身发给在线的网友。

6）弹一对话框，显示一条虚假信息来掩饰自己：

解决方案

方案一 手工清除方法。

1) 在纯DOS模式下,用类似

C:

CD \\WINNT\\SYSTEM

的命令切换到WINDOWS的系统目录，键入

DEL GONE.SCR

删除gone.scr文件；

2) 接着回到WINDOWS，启动注册表编辑器，?

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\，

删除其中名称中含有"\\gone.scr"的键值；

3) 删除mIRC目录中的REMOTE32.INI 文件；

4) 删除MIRC.INI文件，用以前的备份文件中恢复该文件；

5) 该病毒轻松清除。

方案二 瑞星杀毒软件13.33.01之后的版本可以彻底拦截此病毒。