“将死者”病毒的完全介绍及手工清除方法
金山反病毒资讯网 　 2001-12-06 10:10:09

　　
　　病毒名称：Worm.Gone.38912

　　病毒类型：蠕虫病毒

　　病毒大小: 39KB

　　病毒介绍：该病毒本身是一个压缩文件 ，如果打开压缩文件，就会变成136KB的文件。此病毒是用Visual Basic编写，且经过压缩软件UPX压缩，反解压工具处理，使之用原始的UPX不能解压。由于是VB编写的病毒，它运行时就需要一个VB的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活，这些用户则会幸免于难。

　　传播方式:

　　(1).通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件

　　(2).通过IRC聊天工具传送病毒文件

　　(3).通过ICQ聊天程序将病毒复制自身给其它ICQ用户

　　(4).通过MIRC方式,在系统中安装后门程序,病毒制造者可远程控制

　　该病毒会伪装成了一个屏幕护程序，开始传播.如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时，它会以如下方式显示：

　　邮件主题：Hi

　　邮件内容：How are you ?

　　When I saw this screensaver, I immediately thought about you

　　I am in a harry, I promise you will love it!

　　附件名称：GONE.SCR

　　此病毒还会搜索计算机里的反病毒软件，它首先检查内存中是否有如下程序：

　　APLICA32.EXE

　　AVCONSOL.EXE

　　AVP.EXE

　　AVP32.EXE

　　AVPCC.EXE

　　AVPM.EXE

　　CFIADMIN.EXE

　　CFIAUDIT.EXE

　　CFINET32.EXE

　　ESAFE.EXE

　　FRW.EXE

　　FEWEB.EXE

　　ICLOAD95.EXE

　　ICLOADNT.EXE

　　ICMON.EXE

　　ICSUPP95.EXE

　　ICSUPPNT.EXE

　　LOCKDOWN2000.EXE

　　PCFWallIcon.EXE

　　PW32.EXE

　　TDS2-98.EXE

　　TDS2-NT.EXE

　　VP32.EXE

　　VPCC.EXE

　　VPM.EXE

　　VSECOMR.EXE

　　VSHWIN32.EXE

　　VSSTAT.EXE

　　VW32.EXE

　　WEBSCANX.EXE

　　ZONEALARM.EXE

　　若存在上述程序，病毒将会自动关闭它们，同时查找硬盘上对应文件所在目录，并删除该目录下的所有文件。若无法删除，病毒会修改wininit.ini文件以便在系统重启时删除文件。

　　手工清除方法：


　　1. 在纯DOS模式下,用类似

　　C:

　　CD WINNTSYSTEM

　　的命令切换到WINDOWS的系统目录，键入

　　DEL GONE.SCR

　　删除gone.scr文件；

　　2. 接着回到WINDOWS，启动注册表编辑器， HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除其中名称中含有"gone.scr"的键值；

　　3. 删除mIRC目录中的REMOTE32.INI 文件；

　　4. 删除MIRC.INI文件，用以前的备份文件中恢复该文件；

　　5. 该病毒轻松清除。