Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt User vor einem neuen Internet-Wurm namens 'I-Worm.Goner'. Es wurden bereits einige Meldungen von Infektionsfällen durch diesen Schädling bekannt.

Um 'Goner' zu aktivieren, muss der Benutzer die Wurmträgerdatei (GONE.SCR) selbst starten, dann erst beginnt der Angriff auf den Computer. 'Goner' kopiert sich in das Windows System-Verzeichnis mit demselben Namen (GONE.SCR) und registriert diese Datei im Autostart-Bereich der Windows System-Registrierung. So wird der Wurm bei jedem Start des Betriebssystems automatisch aktiviert.

Zur Verbreitung im Internet nutzt 'Goner' zwei Kanäle: zum einen eMail und den beliebten Internet-Messenger ICQ.

Um sich via eMail zu verbreiten, verschafft sich der Wurm Zugriff auf das Mail-Programm Microsoft Outlook, erzeugt eine Meldung mit der infizierten GONE.SCR-Datei als Anhang und versendet diese an alle Adressen im Outlook-Adressbuch. Dieser Vorgang wird vom Anwender nicht bemerkt. Die infizierten eMails sehen aus wie folgt:

Danach werden folgende Fenster gezeigt:

'Goner' versucht ebenfalls seine Kopien via Internet-Messenger ICQ zu verschicken. Dazu sucht er permanent nach aktiven (online) Usern und sendet periodisch seine Trägerdatei an sie. Damit die Anwesenheit des Wurms unbemerkt bleibt, scannt 'Goner' fortwährend die Namen der neuerschienenen Fenster und schließt die ICQ-Dienstfenster. Das ermöglicht ihm die ICQ-Prozesse unautorisiert zu verarbeiten.

Außer der Verbreitung im Internet greift der Wurm auch IRC-Kanal pentagonex über den twisted.ma.us.dal.net-Server an. Um dies zu ermöglichen, wird auf dem verseuchten Computer das schädliche Skript-Programm unbemerkt gestartet, welches mit Hilfe des mIRC-Kanals regelmäßig Anwender in diesem Kanal mit zufälligen Namen erschafft. In einigen Fällen kann das zum Neuladen des Dienstes führen und führt bei anderen Teilnehmern des IRC-Kanals zu Störungen.

"Die 'Goner'-Epidemie wird bald abklingen," erläutert Denis Zenkin, der Pressesprecher bei Kaspersky Lab. "Jedes Mal, wenn eine neue Malware entdeckt wird, ist ein Anstieg der Aktivitäten in den ersten Stunden zu Verzeichnen, der jedoch nach 2 bis 3 Tagen langsam zurückgeht. Dieser Wurm nutzt keine außerordentlichen Angriffsmethoden. Deswegen muss sich sein 'Schicksal' höchstwahrscheinlich eben dem Szenario nach entwickeln".

Die Schutzmaßnamen gegen 'Goner' wurden bereits den Kaspersky Anti-Virus Datenbanken hinzugefügt.

Eine nähere Beschreibung des Schädlings finden Sie im Kaspersky Viren-Lexikon.