Нетоскоп / Новости / Вирус Goner-Pentagon любит ICQ и уничтожает антивирусники

		Нетоскоп/Новости/05.12.2001 http://www.netoscope.ru/news/2001/12/05/4262.html Вирус Goner-Pentagon любит ICQ и уничтожает антивирусники Алексей Рерих 5.12.2001 11:52

По Сети стремительно начал распространяться новый вирус - Goner. Другое имя червя – Pentagon.

По сообщению "Лаборатории Касперского" червь распространяется в виде аттачмента к электронному письму. Именно так он был обнаружен, что называется, в диком виде всеми антивирусными компаниями. "Лаборатория Касперского" зафиксировала "несколько" случаев заражения вирусом Goner, компания Symantec сообщает об одной тысяче заражений на конец вторника. Почтовый сервис MessageLabs сообщает о 39 тысячах зараженных писем.

Червь распространяется в письме с заголовком "Hi". В теле письма содержится текст: "How are you ? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!" ("Как дела? Когда я увидел этот скринсйвер, я сразу подумал о тебе. Я спешу. Обещаю, тебе он понравится!").

Вложенный файл поименован как Gone.src. Для активизации червя пользователь должен самостоятельно раскрыть этот аттачмент. Червь функционирует только в среде Win32.

После инсталяции в систему червь рассылает себя по всем адресам из адресной книги Microsoft Outlook. Червь также пытается рассылать себя через популярный интернет-пейджер ICQ.

Помимо рассылки червь выполняет также некоторые деструктивные действия. По сообещнию CNet, после заражения системы червь пытается приостановить работу антивирусных программ крупнейших производителей, а затем пытается удалить все защитные файлы.

По сведениям компании Zone Labs, с функцией удаления файлов антивирусников червь справляется плохо. Так у антивирусного ПО ZoneAlarm вирусу удалось удалить только пользовательский интерфейс и "Help", основная же программа продолжала работать.

После проведения деструктивных действий червь выводит небольшое окошко, содержащее благодарности неизвестного автора всем своим друзьям.

Помимо попыток уничтожения файлов антивирусных программ, Goner-Pentagon также запускает скрытое приложение, осуществляющее DoS-атаку на сервер twisted.ma.us.dal.net, вновь и вновь заходя на IRC-канал #pentagonex под разными случайными именами.

Интенсивность эпидемии этого червя, как и всех ему подобных, "Лаборатория Касперского" в своем отчете и компания "Symantec" в интервью CNet оценивают одинаково: в первые часы такие вирусы обычно начинают очень активно распространяться, в следующие 2-3 дня наблюдается заметный рост количества зараженных сообщений, затем начинается спад, после чего эпидемия полностью сходит на нет.

Антивирусные компании и интернет-СМИ не устают говорить о необходимости ни в коем случае не открывать аттачменты неизвестного происхождения, а тем более с двойным или исполняемым расширением. Однако пользователи очень быстро забывают уроки предыдущих эпидемий и снова и снова ведутся на нехитрые призывы посмотреть на "очень интересный скринсейвер". Однако информация о новой эпидемии быстро распространяется и пользователи вновь становятся аккуратнее.

Вирус Goner написан на языке Visual Basic 6 и представляет собой исполняемый файл размером около 38 килобайт. Червь упакован утилитой UPX.