Fertőz, pusztít és terjed az I-Worm.Goner (Pentagone) vírus

[email] A Goner egy levélben terjedő Visual Basic nyelven írt vírus. Jelenlétét először 2001. december 4-én észlelték. A féreg egy körülbelül 39 kB hosszú PE EXE állomány, melyet az UPX nevű compressor segítségével tömörítettek össze. A féreg eredeti hossza 145 kB.

A féreg az Outlook levelezőprogram segítségével terjed, de ha telepítve van az ICQ, akkor azon keresztül is. Létrehoz néhány scriptet a MIRC kliens könyvtárában is, ezek segítségével bizonyos esetekben az IRC csatornákat is túl tudja terhelni.

Amikor a féreg már fut, egy üdvözlő dialógus ablak jelenik meg egy animáció kíséretében, ezzel leplezve futását. Ha lefutott, egy hamis hibaüzenet ablak tűnik fel:

Error While Analyze DirectX!

A féreg bemásolja magát a Windows System alkönyvtárba GONE.SCR néven, és megpróbál a regisztrációs adatbázisban egy magára mutató indító bejegyzést létrehozni. A féreg szervizként fut, ezért a hozzá tartozó task nem látható a Task Managerben.

A terjedéséhez a féreg csatlakozik az Outlook címjegyzékéhez, kiolvassa belőle az email címeket és elküldi magát az összes címre. A fertőzött levél az alábbiak szerint néz ki:

Tárgy: Hi
A levél tartalma:

 How are you ?
 When I saw this screen saver, I immediately thought about you
 I am in a harry, I promise you will love it!

Melléklet: Gone.scr

A féreg ICQ-n keresztül is megpróbálja továbbküldeni magát, amennyiben az a fertőzött gépen telepítve van. Saját továbbküldéséhez szabványos ICQ komponenseket használ. A féreg elküld egy fájl továbbítási kérelmet egy olyan ICQ kapcsolathoz, amelyik on-line üzemmódban van. Ha ez a partner jóváhagyja a file elküldését, a féreg hozzá is elküldi magát.

A féreg az alábbi folyamatokat keresi a gépen (például Zonealarm tűzfal program, Kaspersky Anti-Virus, stb.) és megpróbálja azokat leállítani:

 APLICA32.EXE
 ZONEALARM.EXE
 ESAFE.EXE
 CFIADMIN.EXE
 CFIAUDIT.EXE
 CFINET32.EXE
 PCFWallIcon.EXE
 FRW.EXE
 VSHWIN32.EXE
 VSECOMR.EXE
 WEBSCANX.EXE
 AVCONSOL.EXE
 VSSTAT.EXE
 PW32.EXE
 VW32.EXE
 VP32.EXE
 VPCC.EXE
 VPM.EXE
 AVP32.EXE
 AVPCC.EXE
 AVPM.EXE
 AVP.EXE
 LOCKDOWN2000.EXE
 ICLOAD95.EXE
 ICMON.EXE
 ICSUPP95.EXE
 ICLOADNT.EXE
 ICSUPPNT.EXE
 TDS2-98.EXE
 TDS2-NT.EXE
 SAFEWEB.EXE

A féreg nem csak a folyamatokat próbálja meg leállítani, de megkísérli a fájlok törlését is azzal a könyvtárral együtt, amiben megtalálta őket. Ha ez nem sikerül azonnal, akkor a WININIT.INI állományban előjegyzésbe veszi a törlésüket, mely a gép újraindításakor hajtódik végre. A könyvtártörlési funkció alól kivételt képez a WindowsSystem könyvtár. A féreg kísérletet tesz még a C:SAFEWEB könyvtár letörlésére is.

Az F-Secure, a Norton AntiVirus és a Kaspersky Anti-Virus programok a december 4. esti vagy későbbi adatállományokkal már képes detektálni a vírust.