GONER, gusano que para infectar deshabilita Antivirus y Firewalls.  

(c) Jorge Machado  Lima-Perú

Win32.Goner.A, I-Worm.Goner, W32/Goner@MM, Gone

Goneres un gusano propagado en los primeros días de Diciembre del 2001 en los Estados Unidos y reportado en el Perú el 04 de Diciembre del mismo año, de gran difusión masiva a través de mensajes de correo electrónico vía Internet, con un archivo anexado denominado GONE.SCR simulando ser un protector de pantalla de una extensión de 39kb que muestra este icono:

Este gusano tiene la particular y eficiente característica de deshabilitar los antivirus y Firewalls de los servidores, estaciones de trabajo, equipos individuales y PC domésticas. 

Infecta los sistemas operativos Microsoft Windows 95/98/NT/2000/Me, incluyendo los servidores NT/2000.

Goner ha sido desarrollado  en lenguaje Visual Basic 6.0 y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, Goner se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un  mensaje de correo:

También se propaga a través del ICQ (I Seek You), el revolucionario y popular sistema de Chat en Internet.

http://web.icq.com

Si el archivo anexado es ejecutado, se mostrará la siguiente pantalla:

A continuación mostrará un falso mensaje de error:

Luego intentará deshabilitar los software antivirus y otras aplicaciones de seguridad como Firewalls, instalados en el equipo infectado. Par lograr este objetivo el gusano hace una búsqueda de los siguientes procesos en memoria:

APLICA32.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
ESAFE.EXE
FRW.EXE
FEWEB.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LOCKDOWN2000.EXE
PCFWallIcon.EXE
PW32.EXE
TDS2-98.EXE
TDS2-NT.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
VW32.EXE
WEBSCANX.EXE
ZONEALARM.EXE

Si cualquiera de los procesos antes mencionados es encontrado, lo hace terminar y luego borrará todo el contenido de la carpeta que contenga dicho proceso. 

Además, si encuentra la carpeta C:\Safeweb, borrará todos los archivos que se encuentren en ella. Si durante las acciones anteriores no pudiese borrar algún archivo, creará el archivo Wininit.ini, con el objetivo de eliminarlo luego de reiniciar el equipo. 

Adicionalmente, con el propósito de asegurarse de ser ejecutado la próxima vez que reinicie Windows se auto-copiará al directorio C:\Windows\System con el nombre de GONE.SCR y creará la siguiente llave de registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“C:\Windows\System\gone.scr”

Finalmente, dentro del cuerpo de su código viral se lee:

Comentarios: Power Puff girls rulz!  ;>

Nombre del producto: pentagone

Nombre interno: gone

Nombre original del archivo: gone.scr

Versión del producto: 0.00.0003

PER ANTIVIRUS® versión 7.2 actualizado al 04 de Diciembre del 2001, detecta y elimina eficientemente este gusano.                  

Ir al menú anterior

Regresar al Portal de PER SYSTEMS