Jde o jednoduchého červa napsaného již klasicky jako Visual Basic script a používajícího k šíření email a také ICQ, případně i přes IRC. Největší nápor se ale očekává přes email.
Jak virus poznáte?
Příchozí email má subject, předmět zprávy pouze Hi, následuje tato zpráva v těle emailu:How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
Text není to nejhorší, k emailu je ale připojen soubor gone.src, tedy zakomprimovaná kopie trojského koně o velikosti zhruba 38 KB.
Pokud byste soubor otevřeli, virus infikuje počítač a zlikviduje programy starající se o zabezpečení počítače. Je potvrzeno, že si program vyřídí účty s Kaspersky Lab's AVP, Zone Labs' ZoneAlarm, Norton Antivirus a Internet Security Systems' Black Ice.
Poté, co vyřadí obranu počítače, otevře si již s klidem okno (viz obrázek) s informacemi o svých tvůrcích a představí se jako Pentagone. Následně instaluje backdoor do vašeho systému propojení na populární službu mIRC, tento backdoor může být použit jako odrazový můstek pro útoky denial of service (DOS) na IRC servery.
Virus se následně automaticky rozešle na všechny kontakty, jež nalezne v aplikaci Outlook. Je také schopen použít rozesílání přes ICQ specifickou rutinou tak, že vezme kontakty v ICQ.
Virus nemá žádné destrukční účinky, pouze se distribuuje a podle dobrozdání antivirových firem se mu šíření velmi dobře daří. Během úterního odpoledne zachvátila nákaza Spojené státy, odtud přeskočila do Británie a ve velké míře se objevuje i v Německu. Celoevropské propuknutí, jakož i objevení se ve vašich email schránkách, se obecně očekává právě na dnešek.
Jak vidíte z následujícího obrázku, Goner se v USA velmi rychle stal druhým nejagilnějším virem. Obrázek pochází z měření VirusEye firmy MessageLabs.
Jak zjistíte, že jste nakaženi?
Pokud vám podobná obrazovka (výše na stránce) někdy vyběhla na obrazovce, stojí za to podívat se do registrů programem REGEDIT (samozřejmě jen pokud máte operační systém Windows, pokud máte jiný systém, třeba Linux nebo Mac, můžete zvědavě studovat obsah došlého emailu, ale k nákaze to nepovede).V registru
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Najdete přidanou hodnotu
C:\%SYSTEM%\gone.scr C:\%SYSTEM%\gone.scr
Kde %SYSTÉM% je jméno systémového adresáře vaší instalace Windows, tedy například typicky windows/system
Odstranění viru
Pro odstranění viru je třeba nejdříve odstranit jeho automatické spouštění přes registry, takže výše uvedenou hodnotu z registrů je třeba smazat. Až ji smažete, restartujte počítač a použijte svůj antivirus pro kompletní proscanování počítače.Nezapomínejte, že musíte počítač restartovat, aby se po restartu do paměti počítače virus nenačetl a vy jste mohli spustit antivirus, jinak je pravděpodobné, že nepůjde spustit. Například Norton Antivirus, McAffe a další již mají update s informacemi o tomto viru a poradí si s ním.
