Détecté le 4 décembre, Goner avait contaminé en une journée près de 20 000 postes de travail dans le monde. Il se manifeste sous la forme d’un e-mail en anglais proposant aux destinataires un écran de veille accompagné de la pièce jointe GONE.SCR écrite en Visual Basic. S’il est ouvert par le récipiendiaire du mail, le programme crée un fichier dans le répertoire système de Windows et modifie la base de registre afin de s’autoexécuter à chaque démarrage de la machine.
Une propagation par Outlook
Pour se protéger, Goner cherche dans la mémoire du système d’exploitation une trentaine de fichiers parmi lesquels figurent des coupe-feu personnels et des antivirus. Non content de les détruire, il supprime aussi tous les fichiers situés dans les mêmes répertoires. Le virus se propage par le biais d’Outlook et d’Outlook Express, dont il utilise le carnet dadresses. Il exploite aussi ICQAPI pour envoyer une copie de lui-même aux utilisateurs connectés au client ICQ de son hôte. Le ver peut enfin permettre à son auteur de créer des attaques par déni de service sur les IRC (Internet Relay Chat). Il crée pour cela un fichier REMOTE.INI, un cheval de Troie, sur les logiciels de chat mIRC.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.