将死者（Goner）病毒工作过程,清除方法

病毒名称：Worm.Gone
病毒类型：网络蠕虫
病毒大小: 38912字节

　　该病毒本身是一个压缩文件 ，如果打开压缩文件，就会变成159KB的文件。此病毒是用Visual Basic编写，且经过压缩软件UPX压缩，反解压工具处理，使之用原始的UPX不能解压。由于是VB编写的病毒，它运行时就需要一个VB的动态链接库msvbvm60.dll，若用户的计算机里没这个文件，病毒就无法被激活，这些用户则会幸免于难。

传播方式:

(1).通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件。
(2).通过IRC聊天工具传送病毒文件，插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击。
(3).通过ICQ聊天程序，判断ICQ的版本，如果版本正确则将自身发给在线的网友。

工作过程：
　　
1）首先，弹出一个对话框：
2）将自身copy至Windows系统目录下，修改注册表：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ％SystemDirectory％\GONE.SCR = ％SystemDirectory％\GONE.SCR

3）伪装成了一个屏幕护程序，开始传播.如果通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件时，它会以如下方式显示：

　　邮件主题：Hi
　　邮件内容：How are you ?
　　When I saw this screensaver, I immediately thought about you
　　I am in a harry, I promise you will love it!

　　附件名称：GONE.SCR

　4）此病毒还会搜索计算机里的反病毒软件，它首先检查内存中是否有如下程序：
　　APLICA32.EXE
　　AVCONSOL.EXE
　　AVP.EXE
　　AVP32.EXE
　　AVPCC.EXE
　　AVPM.EXE
　　CFIADMIN.EXE
　　CFIAUDIT.EXE
　　CFINET32.EXE
　　ESAFE.EXE
　　FRW.EXE
　　FEWEB.EXE
　　ICLOAD95.EXE
　　ICLOADNT.EXE
　　ICMON.EXE
　　ICSUPP95.EXE
　　ICSUPPNT.EXE
　　LOCKDOWN2000.EXE
　　PCFWallIcon.EXE
　　PW32.EXE
　　TDS2-98.EXE
　　TDS2-NT.EXE
　　VP32.EXE
　　VPCC.EXE
　　VPM.EXE
　　VSECOMR.EXE
　　VSHWIN32.EXE
　　VSSTAT.EXE
　　VW32.EXE
　　WEBSCANX.EXE
　　ZONEALARM.EXE

　　若存在上述程序，病毒将会自动关闭它们，同时查找硬盘上对应文件所在目录，并删除该目录下的所有文件。若无法删除，病毒会修改wininit.ini文件以便在系统重启时删除文件。

5）如果被感染机器装了ICQ，则判断ICQ的版本，如果版本正确则将自身发给在线的网友。
6）弹一对话框，显示一条虚假信息来掩饰自己：

手工清除方法：

　　1) 在纯DOS模式下,用类似

　　C:

　　CD \WINNT\SYSTEM

　　的命令切换到WINDOWS的系统目录，键入

　　DEL GONE.SCR

　　删除gone.scr文件；

　　2) 接着回到WINDOWS，启动注册表编辑器，
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\，
删除其中名称中含有"\gone.scr"的键值；

　　3) 删除mIRC目录中的REMOTE32.INI 文件；

　　4) 删除MIRC.INI文件，用以前的备份文件中恢复该文件；

　　5) 该病毒轻松清除。