Вирус Goner-Pentagon любит ICQ и уничтожает антивирусники

Author:

Алексей Рерих

По Сети стремительно начал распространяться новый вирус — Goner. Другое имя червя — Pentagon.

По сообщению «Лаборатории Касперского» червь распространяется в виде аттачмента к электронному письму. Именно так он был обнаружен, что называется, в диком виде всеми антивирусными компаниями. «Лаборатория Касперского» зафиксировала «несколько» случаев заражения вирусом Goner, компания Symantec сообщает об одной тысяче заражений на конец вторника. Почтовый сервис MessageLabs сообщает о 39 тысячах зараженных писем.

Червь распространяется в письме с заголовком «Hi». В теле письма содержится текст: «How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!» («Как дела? Когда я увидел этот скринсйвер, я сразу подумал о тебе. Я спешу. Обещаю, тебе он понравится!»).

Вложенный файл поименован как Gone.src. Для активизации червя пользователь должен самостоятельно раскрыть этот аттачмент. Червь функционирует только в среде Win32.

После инсталяции в систему червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Червь также пытается рассылать себя через популярный интернет-пейджер ICQ.

Помимо рассылки червь выполняет также некоторые деструктивные действия. По сообещнию CNet, после заражения системы червь пытается приостановить работу антивирусных программ крупнейших производителей, а затем пытается удалить все защитные файлы.

По сведениям компании Zone Labs, с функцией удаления файлов антивирусников червь справляется плохо. Так у антивирусного ПО ZoneAlarm вирусу удалось удалить только пользовательский интерфейс и «Help», основная же программа продолжала работать.

После проведения деструктивных действий червь выводит небольшое окошко, содержащее благодарности неизвестного автора всем своим друзьям.

Помимо попыток уничтожения файлов антивирусных программ, Goner-Pentagon также запускает скрытое приложение, осуществляющее DoS-атаку на сервер twisted.ma.us.dal.net, вновь и вновь заходя на IRC-канал #pentagonex под разными случайными именами.

Интенсивность эпидемии этого червя, как и всех ему подобных, «Лаборатория Касперского» в своем отчете и компания «Symantec» в интервью CNet оценивают одинаково: в первые часы такие вирусы обычно начинают очень активно распространяться, в следующие 2-3 дня наблюдается заметный рост количества зараженных сообщений, затем начинается спад, после чего эпидемия полностью сходит на нет.

Антивирусные компании и интернет-СМИ не устают говорить о необходимости ни в коем случае не открывать аттачменты неизвестного происхождения, а тем более с двойным или исполняемым расширением. Однако пользователи очень быстро забывают уроки предыдущих эпидемий и снова и снова ведутся на нехитрые призывы посмотреть на «очень интересный скринсейвер». Однако информация о новой эпидемии быстро распространяется и пользователи вновь становятся аккуратнее.

Вирус Goner написан на языке Visual Basic 6 и представляет собой исполняемый файл размером около 38 килобайт. Червь упакован утилитой UPX.

ССЫЛКИ ПО ТЕМЕ


«Лаборатория Касперского»

Symantec

Zone Labs

Тревога: I-Worm.Goner — «Лаборатория Касперского», 04.12.01

Goner: Интернет-червь, неравнодушный к ICQ — «Лаборатория Касперского», 04.12.01

«Pentagone» virus still spreading — CNet, 04.12.01

МАТЕРИАЛЫ ПО ТЕМЕ


Троян Badtrans потеснил SirCam с первого места27.11.01


В Сеть выпущен новый червь, способный на DDoS-атаки23.11.01


Майский вирус Aliz вызвал эпидемию в ноябре22.11.01


Первый DVD-вирус подцепили крутые девчонки02.11.01


Антивирус McAfee отбивает память у Outlook Express29.10.01


Корейский «бен Ладен» проникает и в ICQ25.10.01


Сибирская язва заражает компьютеры17.10.01


Новый троянец грабит пользователей WebMoney17.10.01


«Лаборатория Касперского»: активация SirCam отменяется16.10.01


Червь Nimda снова атакует в пятницу28.09.01