Worm.Gone

病毒類型：蠕蟲

影響系統：Win9x / WinNT

病毒行為:

主題：Hi

正文：

How are you ?

When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!

1.該病毒用Visual Basic編寫，經過UPX壓縮。由於是VB編寫的病毒，它運行時就需要一個VB的動態程式庫msvbvm60.dll，若用戶的計算機里沒這個檔案，病毒就無法被激活。

2.此病毒運行時會將自身拷貝至%system%目錄下。

3.病毒在註冊表的主鍵:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中添加鍵值"="C:\%SYSTEM%\gone.scr"

以便該病毒在每次重啟 Windows 時運行。

4.為了更好的運行，此病毒還會搜尋計算機里的反病毒軟體，它首先檢查記憶體中是否有如下程式：

APLICA32.EXE

AVCONSOL.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPM.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET32.EXE

ESAFE.EXE

FRW.EXE

FEWEB.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

LOCKDOWN2000.EXE

PCFWallIcon.EXE

PW32.EXE

TDS2-98.EXE

TDS2-NT.EXE

VP32.EXE

VPCC.EXE

VPM.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

VW32.EXE

WEBSCANX.EXE

ZONEALARM.EXE

若存在上述程式，病毒將會自動關閉它們，同時查找硬碟上對應檔案所在目錄，並刪除該目錄下的所有檔案。若無法刪除，病毒會修改wininit.ini檔案以便在系統重啟時刪除檔案。