Знаєте, хто все це придумав? Ні, не Черчиль у вісімнадцятому році. Все набагато прозаїчніше. Як завжди, ідею створення комп'ютерних вірусів вищезгаданим "козлам" підкинув письменник-фантаст Т. Дж. Райн. В одній зі своїх книг, опублікованій в США в 1977 р., він описав епідемію, за короткий час вразила більше 7000 комп'ютерів. Причиною епідемії став комп'ютерний вірус, який передаючись від одного комп'ютера до іншого, впроваджувався в їх операційні системи і виводив їх з-під контролю людини. Тоді, в 70-х, все це здавалося саме фантастикою. Невразливою та веселою. Але вже через 10-15 років як комп'ютерні мережі, так і поодинокі машини, стали вражати справжнісінькі віруси, створені не природою, а людиною.
Комп'ютерний вірус - це всього-на-всього програма, яка може копіювати себе в інші програми, щоб продовжувати розмноження, виконуючи разом з ними і, можливо, здійснювати деякі побічні дії від невинних жартів до дій, що ведуть до втрати інформації та повної зупинки роботи комп'ютера. Це визначення дається швидше на інтуїтивному рівні, оскільки суворого визначення комп'ютерного вірусу поки не існує. Можна виділити лише три основні властивості програм-вірусів: здатність до саморозмноження, скритність і здатність нести деструктивні дії. Авторами вірусів можуть бути професійні програмісти, студенти і навіть діти шкільного віку. Написати працює вірус не становить великої праці.
Чому їх треба боятися?
95% відсотків всіх вірусів - істоти, вобщем, нешкідливі, які просто розмножуються на вашому диску, але і їх теж треба боятися. Адже ви хочете мати здорові програми, які не підведуть вас ніколи? Крім того вам навряд чи сподобається віддавати і без того дорогоцінний місце на вінчестері і в пам'яті абсолютно непотрібного баласту. Думаю, в цьому ви зі мною повністю погодитесь. Але крім цих 95 відсотків є ще 5, які зовсім не є нешкідливими "амебами", так як здійснюють ще й будь-які шкідливі дії: затирають файли, шифрують диски і т.п. Збитки, понесені людством через поведінку заражених машин з кожним роком зростають на порядки. Так, за даними досліджень International Computer Security Association (ICSA), за сім місяців далекого 1988р. комп'ютери, належать фірмам-членам асоціації, піддалися 300 масованим вірусним атакам, що уразив більше 60 тис. комп'ютерних систем, відновлення яких потребувало значних матеріальних і тимчасових витрат. А в останні три роки кількість заражень комп'ютерними вірусами щорічно подвоюється і в лютому 1999 року досягла 88 випадків на місяць на кожну 1000 комп'ютерів у порівнянні з 21 випадком за той же період 1997 року і 32 - за той же період 1998 року. Майже половина з 300 опитаних компаній постраждала від інфекцій з зараженням 25 і більше машин одним і тим же вірусом. Згідно з даними дослідницької фірми Computer Economics, на захист інформаційних систем від вірусних атак в 1999 р. у всьому світі було витрачено 12100 млн дол. Причому, в цю суму входять тільки витрати на встановлені антивірусні засоби захисту, а не на відновлення комп'ютерних систем, що вийшли з ладу через віруси. В цьому році (ви напевно чули або читали) прогриміло вже кілька епідемій: від повторного "Чорнобиля" до горезвісного "ILoveU", що вразила просто неймовірна кількість мереж і машин по всьому світу. І це не межа - з кожним днем з'являються нові й нові екземпляри, серед яких стає все менше невинних жартів. І якщо раніше автори вірусів писали їх заради розваги, то тепер вони "воюють" з виробниками антивірусних засобів, виробляючи все більш витончені "бактерії". Сама загроза вірусів породжує багатомільярдний ринок відповідних продуктів. Організації, хоча б раз піддалися опустошительному навалі вірусів, навряд чи буде згодом стануть економити на антивірусному ПЗ. Зараз ситуація з вірусами і антивірусами нагадує гонку озброєнь недавніх часів. Майже кожного дня з'являються нові віруси, а антивірусні компанії випускають доповнення до своїх антивірусних баз даних. Цьому не видно кінця, але поки ніхто не придумав нічого кращого, ніж регулярне оновлення антивірусного ПЗ. Ось і ставай після цього фантастом ... Втім, що придумано, то придумано, тепер треба не подав ідею лаяти, а боротися із заразою. Причому боротися найбільш ефективно - попереджаючи її.
Класифікація вірусів.
Вірус може потрапити у файли трьох типів: командні файли (файли з розширенням ВАТ), що завантажуються драйвери (файли з розширенням SYS або BIN в тому числі IO.SYS MSDOS.SYS) і виконувані виконавчі файли (файли з розширеннями ЕХЕ, СОМ). Можливо впровадження вірусу у файли даних, але ці випадки виникають або в результаті помилки вірусу, або при прояві вірусу своїх агресивних властивостей. Звичайно, можливе існування вірусів, що заражають файли, які містять вихідні тексти програм, бібліотечні або об'єктні модулі, але подібні способи поширення вірусу занадто екзотичні.
Завантажувальні (бутові) віруси заражають завантажувальний (ВООТ) сектор флоппі-диска і ВООТ-сектор або Мaster-Boot сектор (MBR) вінчестера. При інфікуванні диска вірус в більшості випадків переносить оригінальний Boot-Sector (або MBR) в якій або інший сектор диска (наприклад, в перший вільний). Якщо довжина вірусу більше довжини сектора, то в заражає сектор поміщається перша частина вірусу, решта частини поміщаються в інших секторах (наприклад, у перших вільних). Потім вірус копіює системну інформацію, що зберігається в первісному завантажувачі в свої коди і записує їх у завантажувальний сектор (для MBR цією інформацією є Disk Partition Table, для Boot-сектора дискет _ BIOS Parametr block.)
Віруси невидимки (Stealth) представляють собою досить досконалі програми, які перехоплюють звернення DOS до заражених файлів або секторах і підставляють замість себе незаражені ділянки інформації. Такі віруси, що використовують прийоми маскування, не можна побачити засобами операційної системи. Наприклад, якщо переглянути заражений файл, натиснувши клавішу F3 в системі Norton Commander, то на екрані буде показаний файл, який не містить вірусу. Це відбувається тому, що вірус, активно працює разом з операційною системою, при відкритті файлу на читання негайно видалив своє тіло з зараженого файлу, а при закритті файла уразив його знову.
Поліморфні віруси або віруси-"привиди". Досить важко виявляються віруси, які не мають постійних сигнатур (масок), тобто не містять жодного постійної ділянки коду. У більшості випадків два зразки того ж вірусу-примари не будуть мати жодного збігу.
Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.
Дії проти вірусу в зараженому комп'ютері.
Якщо AVP видав повідомлення про підозру на зараження будь-якого об'єкта вірусом, то зробіть наступне:
скопіювати підозрілі файли на дискету звичайним способом, якщо підозра видано на будь-які файли;
скопіювати системні сектора, що містять Boot-сектор (завантажувальний сектор), Master Boot Record (головний завантажувальний запис), Partition Table (таблицю розбиття диска), за допомогою спеціальних програм (наприклад Norton Disk Edit), якщо підозра видано на системні сектора;
яким-небудь чином доставте підозрілі об'єкти дистриб'юторам (дилерам), у яких Ви придбали AVP, або безпосередньо в Лабораторію Касперського.
Резидентний вірус при зараженні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення системи до об'єктів зараження (файли і завантажувальні сектора) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера (в іншому деякі віруси можуть "пережити" перезавантаження). Нерезидентні віруси не заражають оперативну пам'ять комп'ютера і є активними обмежений час. Деякі віруси залишають в пам'яті невеликі резидентні програми, які не поширюють вірус. Такі віруси вважаються нерезидентними.
За особливостями алгоритму можна виділити наступні групи вірусів:
Віруси-супутники - це віруси, не змінюють файли. Алгоритм роботи цих вірусів полягає в тому, що вони створюють для ЕХЕ файлів файли-супутники, що мають таке ж ім'я, але з розширенням СОМ. Вірус записується в СОМ файл і ніяк не змінює ЕХЕ файл. При запуску такого файлу DOS першим виявить і виконає СОМ файл тобто вірус, який потім запустить і ЕХЕ файл.
Віруси-черв'яки - віруси, які поширюються в комп'ютерній мережі і, так само як і віруси супутники, не змінюють файли або сектори на дисках. Вони проникають в пам'ять комп'ютера з комп'ютерної мережі, обчислюють мережеві адреси інших комп'ютерів і розсилають за цими адресами свої копії.
Паразитичні - всі віруси, які при поширенні своїх копій обов'язково змінюють вміст дискових секторів або файлів. У цю групу потрапляють всі віруси, які не є хробаками або супутниками.
Студентські - вкрай примітивні, часто не резидентні і містять велику кількість помилок.
Стелс-віруси (віруси-невидимки), що представляють собою досить досконалі програми, які перехоплюють звернення ДОС до заражених файлів або до секторів і підставляють замість себе не заражені ділянки інформації.
Віруси-примари (поліморфні) досить важко виявляються віруси, які не мають постійних сигнатур (масок), тобто не містять жодного постійної ділянки коду. У більшості випадків два зразки того ж вірусу-примари не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.
Оскільки невідомі випадки інфікування IBM-сумісних комп'ютерів мережевими "черв'яками", а віруси-"супутники" мають, як правило, дуже простий алгоритм і складають менше 0.5 відсотка від відомих вірусів, то розглядаються лише віруси, що відносяться до "паразитичним".
Симптоми наявності вірусу.
Основні симптоми вірусного ураження наступні:
Уповільнення роботи деяких програм.
Збільшення розмірів файлів (особливо виконуються).
Поява не існували раніше дивних файлів.
Зменшення обсягу доступної оперативної пам'яті (у порівнянні зі звичайним режимом роботи).
Раптово виникають різноманітні відео й звукові ефекти.
При всіх перерахованих вище симптоми, а також при інших дивних проявах в роботі системи (нестійка робота, часті самостійні перезавантаження та інше) ми настійно рекомендуємо Вам, негайно провести перевірку Вашої системи на наявність вірусів за допомогою AVP. При цьому краще, якщо програма буде мати саму останню версію і найсвіжіші оновлення антивірусних баз.
Запобігання та спосіб лікування від вірусів.
WScript.KakWorm - це не зовсім вірус, а інтернет черв'як, причому спосіб його поширення досить хитрий. Він поширюється по електронній пошті, але заражене лист не містить вкладення, заражений сам текст листа. Тобто одного разу відкривши лист (або якщо у Вас включений режим перегляду, то просто встановивши курсор на лист) Ви заражаєте Ваш комп'ютер. Більш повну інформацію з цього черв'якові Ви можете прочитати у вірусній енциклопедії.
Вилучення:
Якщо Ваш комп'ютер ще не заражений KakWorm'ом (тобто Ви не відкривали заражене лист) те щоб позбутися від хробака треба зробити наступне:
відключити режим перегляду в поштовій програмі;
тимчасово деактивувати AVP Монітор;
запустити поштову програму;
видалити заражене повідомлення з усіх папок (не відкриваючи його);
стиснути всі папки;
активувати AVP Монітор.
Якщо Ваш комп'ютер вже заражений KakWorm'ом, то доведеться зробити наступне:
Вимкнути режим перегляду в поштовій програмі.
Видалити з гілки "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" системного реєстру ключ "cAg0u =" C: WINDOWSSYSTEM (name). Hta ", де" (name) "- це 8-символьне ім'я (наприклад 68DAEF80.HTA).
Перевантажити комп'ютер.
Видалити наступні файли:
KAK.HTA з C: Windows
KAK.HTM з C: WindowsSystem
(Name). HTA з C: WindowsSystem, де (name) - це 8-символьне ім'я
KAK.HTA з C: WindowsStart MenuProgramsStartup
Видалити підпис за замовчуванням в поштовому клієнтові.
Видалити всі заражені повідомлення з усіх папок (як це описано вище).
При інсталяції черв'як I-Worm.PrettyPark копіює заражений файл в системний каталог Windows під ім'ям FILES32.VXD і реєструє його в системному реєстрі таким чином, що файл FILES32.VXD запускається при старті кожної програми. Для цього хробак створює в системному реєстрі новий ключ, який ключ асоційований з файлом FILES32.VXD (копією черв'яка). Цей файл має розширення VXD, однак він є не VxD-драйвером Win95/98, а абсолютно нормальною програмою Windows32.
Щоб повністю позбавитися від PrettyPark треба зробити наступне:
перейменувати regedit.exe в regedit.com;
запустити regedit і встановити
"HKEY_CLASSES_ROOTexefileshellopencommand" в ""% 1 "% *";
запустити AVP і пролікувати комп'ютер;
перейменувати regedit назад.
При інсталяції в систему черв'як створює в системному каталозі Windows файли SKA.EXE і SKA.DLL і зберігає файл WSOCK32.DLL з ім'ям WSOCK32.SKA і дописує сегмент свого коду в файл WSOCK32.DLL.
Видалення заражених файлів:
Необхідно видалити файли SKA.EXE і SKA.DLL з системного каталогу Windows, замінити інфікований файл WSOCK32.DLL на його незаражену копію WSOCK32.SKA. Слід також знайти і видалити початковий EXE-файл HAPPY99.EXE.
Для подальшого захисту комп'ютера від даного хробака достатньо всього лише встановити атрибут "тільки читання" у файлу WSOCK32.DLL. Хробак не в змозі заразити систему в цьому випадку, оскільки він не обробляє атрибути файлів.
Антивірусні програми
Якщо ви любитель нових програм, іграшок, ведете активну переписку по електронній пошті і використовуєте для цього Word, або просто хочете дотримуватися вищевказаних правил, вам необхідно використовувати антивірус. Який антивірус кращий? Все залежить від ваших смаків та вподобань, так що вирішуйте самі. Є декілька параметрів, за якими різні антивіруси можна порівняти між собою. Судячи з власного досвіду їх використання і думкам фахівців, антивірусна програма, гідна до застосування, повинна "вміти":
створювати аварійну дискету;
сканувати завантажувальний сектор і створювати копію вихідного завантажувального сектора;
сканувати файли, включаючи архівні (. ARJ,. ZIP,. RAR);
сканувати оперативну пам'ять;
автоматично сканувати диск по заздалегідь заданому розкладу;
перевіряти файли при їхньому надходженні на комп'ютер і при зверненні до дискового чи мережного пристрою, сканувати ці пристрої в пошуках вірусів;
при перезавантаженні перевіряти, чи не залишилася в дисководу дискета, і попереджати про це користувача;
сканувати диск у фоновому режимі;
виявляти макро-віруси в документах Word і Excel;
реєструвати результати перегляду у вигляді звіту на екрані чи в роздруківці.
Список не маленький, але обов'язковий. Інакше користі від такої програми не буде ніякого. Крім перерахованого вище антивірус повинен бути надійний, швидкий і зручний у роботі (відсутність "зависань" та інших технічних проблем), якісно виявляти віруси всіх поширених типів, не мати "помилкових спрацьовувань", мати можливість лікування заражених об'єктів, періодично (чим частіше, тим краще ) оновлюватися (поповнювати базу новими вірусами), бути мультиплатформенним (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS / 2, Alpha, Linux і т.д.) і мати можливість адміністрування мережі.
На сьогоднішній день існує декілька провідних антивірусних пакетів: російські Antiviral Toolkit Pro лабораторії Євгенія Касперського (www.avp.ru) і Dr. Web від "ДіалогНаука" (www.drweb.ru), а також західні McAfee Total Virus Defence від Nеtwork Associates (www.macafee.com), Norton AntiVirus від Symanteс (www.symantec.com) і деякі інші.
Тема вибору антивіруса вимагає окремої розмови, тому в наступному номері ми докладно зупинимося на останніх версіях цих продуктів, розберемо всі їхні переваги і недоліки, і навіть проведемо деякі тести. До зустрічі через місяць. Предохраняйтесь і не хворійте!
Нові віруси.
www.kaspersky.ru
8-12-2001 Епідемія інтернет-хробака Goner
Світова епідемія Інтернет-хробака Goner (інші назви - Gone і Pentagone) почалася на цьому тижні у вівторок 4 грудня. Початок був досить бурхливим, так що деякі експерти поспішили попередити населення, що цей вірус по нанесеному їм матеріального збитку може залишити далеко позаду сумно відомий вірус Love Bug. У принципі підстави для цього були: цей вірус видаляє з зараженого комп'ютера антивірусні та інші захисні програми і залишає комп'ютер на розтерзання хакерам і інших вірусів.
Щоправда, через кілька днів стало ясно, що не все так страшно. По всій видимості, численні вірусні епідемії чогось все-таки вчать користувачів ПК. За оцінками компанії Computer Economics, вірус Love Bug, що з'явився в 1999 році, відвідав по всьому світу 40 млн комп'ютерів і заразив з них 4,5 мільйона, а загальний збиток від його діяльності склав близько 8750 млн дол. За даними цієї ж компанії, з минулого вівторка вірус Goner отримали по електронній пошті або через ICQ 800 000 власників комп'ютерів по всьому світу, але заразилися з них тільки 7%, тобто тільки 56 тисяч чоловік по недбалості або недомислу запустили присланий файл на виконання. До того ж після вірусу Love Bug антивірусні компанії додали в свої захисні програми цілий ряд функцій з автоматичної очищення від вірусів (особливо в ПЗ для корпоративних комп'ютерних мереж, де покладатися на свідомість і підкованість рядових користувачів було б дуже наївно). Так що про мільйони тих, що заразилися! говорити зарано, і збиток від вірусу Goner поки що становить близько 5 млн дол.
Тобто йому далеко і до чемпіона Love Bug, і до призерів (вірус Code Red обійшлася світу в 2,6 млрд дол., SirCam коштував близько 1 млрд дол., А Nimda - 590 млн дол.).
Але розслаблятися, звичайно ж, не можна, адже вирусописатели не дрімають і постійно вигадують щось нове і витончене.
8-12-2001 Informer.ru представляє антивірусний онлайн-сервіс
Число онлайнових сервісів Рунета поповнилося антивірусним додатком. Компанія AV-online і портал Informer.ru оголосили про запуск спільного проекту. Тепер користувачі Мережі зможуть безкоштовно встановити на своїх сайтах інформер, за допомогою якого можлива віддалена перевірка файлів на наявність вірусів. Подивитися, як виглядає новий інформер, можна тут.
Алгоритм роботи сервісу буде наступним: файли, призначені для перевірки, за допомогою інформера завантажуються на сервер AV-online, де засобами пакета DrWeb здійснюється їх перевірка. Крім процедури перевірки, користувачі також зможуть отримати доступ до статистики файлів, що пройшли перевірку.
Власну серію інформерів запропонувала "Лабораторія Касперського". До складу цієї серії увійшли інформери, що містять новини компанії, новини проекту VirusList.com, рейтинг top10 вірусів і перелік найбільш активних вірусів дня.
Коментуючи впровадження нового сервісу і новинних інформерів, керівник проекту Informer.ru Олена Митькина заявила наступне: "Сервіс AV-online, в першу чергу, орієнтований на адміністраторів інтернет-проектів. З його допомогою портали, які здійснюють обмін файлами (поштові сервіси), зможуть організувати їх автоматичну перевірку на наявність вірусів, що, безсумнівно, буде оцінено користувачами. Що стосується інформерів "лабараторії Касперського", то вони, безумовно, будуть корисні власникам інформаційних проектів, що спеціалізуються на питаннях мережевої безпеки та розповсюдженні вірусів ".
8-12-2001 Новий Інтернет-черв'як I-Worm.Updater
Російський розробник систем антивірусного захисту компанія "Лабораторія Касперського" повідомила про виявлення нового Інтернет-хробака I-Worm.Updater. Вже зафіксовано кілька заражень цим вірусом.
Новий Інтернет-черв'як "Updater" написаний на мові програмування Visual Basic і являє собою EXE-файл розміром близько 12 кілобайт, упакований утилітою стиснення UPX. Розповсюджується він по електронній пошті через поштову програму Outlook, розсилаючи листи зі своїми копіями за всіма адресами з адресної книги зараженого комп'ютера.
Варіантів оформлення листа з вірусом Updater декілька. Рядок "Тема" складається з чотирьох частин і випадковим чином формується з наступного списку:
Частина 1: "Have you", "You Should", "Just", "Why Not you", "How to", "Re:", "Fwd:", ""
Частина 2: "Check", "Check out", "Watch out", "Open", "Look at"
Частина 3: "this", "my", "For this", "The"
Частина 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush "," Account "," Private Pic "
Наприклад: You Should Look at this Osama Vs Bush
Тіло листа має наступний вигляд:
Hi:
This is the file you ask for, Please save it to disk and open this file, it's very important.
Вкладений файл-носій хробака може мати імена: "Setup.EXE", "install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Letter. Doc.exe "," Picture.jpg.exe "
"Updater" має неприємна побічна дія. Він створює шкідливу скрипт-програму UPDATE.VBS, записує її до каталогу автозавантаження Windows і запускає на виконання. Ця програма шукає на диску файли з розширенням. EXE,. DOC і. VBS і створює для них файли-компаньйони, що містять копію хробака. Ці файли-компаньйони мають ті ж імена, що й оригінальні файли плюс "друге" розширення. VBS. Наприклад: MPLAYER.EXE.vbs REPORT.DOC.vbs
Рекомендації користувачам не відрізняються оригінальністю: не відкривати файлів (особливо виконуваних), прикріплених до підозрілих листів.
6-12-2001 Internet-хробак Gone видаляє антивірусні програми і поширюється як лісова пожежа
Антивірусні компанії розповсюдили повідомлення про появу нового вірусу-хробака під назвою Gone (інші назви: Pentagone і Goner). Незважаючи на те, що вірус цей зовсім не відрізняється хитромудрістю, поширюється він дуже швидко. Англійська компанія MessageLabs заявила, що її поштова служба блокувала вже більше 23 тисяч копій цих вірусів. За даними цієї компанії, вчора у другій половині дня у Великобританії заражені електронні листи приходили зі швидкістю 100 штук на хвилину.
Він приходить по електронній пошті у приєднаному до листа файлі з назвою Gone.scr, тобто він замаскований під скрінсейвер. У заголовку листа коштує всього одне слово: "Hi". Текст в тілі листа наступний: "How are you? When I saw this screen saver, I immediately thought about you. I am in a harry, I promise you will love it!" ("Привіт, коли я побачив цей скрінсейвер, я відразу ж подумав про тебе. Зараз мені ніколи, але я обіцяю, що він тобі сподобається"). Поширюється вірус тільки через поштову програму Microsoft Outlook на комп'ютерах з ОС Windows, на інших він не діє.
На зараженому комп'ютері вірус Gone зупиняє роботу більшості антивірусних і захисних програм і видаляє всі файли з папок, що містять ці програми. Зокрема, вірус знаходить і видаляє антивірус AVP від "Лабораторії Касперського" і захисні програми ZoneAlarm виробництва Zone Labs і Black Ice від Internet Security Systems.
Знявши захист з комп'ютера, вірус відкриває діалогове вікно зі своїм ім'ям Pentagone й іменами творців, а також з подяками користувачам Інтернет. Потім вірус встановлює на комп'ютер програму "чорного ходу", яка може бути використана хакером для організації атак типу "відмова в обслуговуванні" проти серверів IRC-чату.
Вірус намагається поширюватися по електронній пошті і через чат-програму ICQ. Поштою він розсилає свої копії за всіма адресами з адресної книги, а в ICQ він - по всім користувачам зі списку контактів.
Антивірусні компанії настійно рекомендують користувачам оновити своє антивірусне ПЗ і не відкривати листів, які підпадають під вищезгадане опис.
6-12-2001 Новий вірус вражає пошту та ICQ
Черв'як Goner поширюється по електронній пошті. Заражені листи мають такий вигляд:
Тема листа: "Hi"
Тіло листа: "How are you?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it! "
Вкладений файл: GONE.SCR.
Для активізації "Goner" користувач повинен самостійно запустити файл-носій хробака (GONE.SCR), після чого починається процедура впровадження шкідливого коду на комп'ютер жертви. Для цього "Goner" записує свою копію в системний каталог Windows під тим же ім'ям (GONE.SCR) і реєструє цей файл у секції автозавантаження системного реєстру Windows. Таким чином, черв'як запускається автоматично при кожному перезавантаженні операційної системи.
Потім "Goner" починає процедуру розповсюдження по мережі Інтернет. Для цього одночасно використовуються два канали передачі даних: електронна пошта і популярний Інтернет-пейджер ICQ. Для розповсюдження по електронній пошті черв'як отримує доступ до поштової програмою Microsoft Outlook, створює лист, що містить заражений файл GONE.SCR і непомітно для користувача розсилає його по всім одержувачам з адресної книги Outlook.
"Goner" також намагається розсилати свої копії за допомогою Інтернет-пейджера ICQ. Для цього він постійно відстежує список активних (online) користувачів і періодично намагається передати їм файл-носій хробака. Для приховування своєї присутності в системі і несанкціонованої роботи з ICQ "Goner" постійно сканує імена знову з'явилися вікон і закриває службові вікна ICQ.
Крім поширення через Інтернет черв'як також проводить атаку на IRC-канал # pentagonex через сервер twisted.ma.us.dal.net. Для досягнення цієї мети на зараженому комп'ютері непомітно запускається шкідлива скрипт-програма, яка за допомогою клієнта mIRC регулярно створює в цьому каналі користувачів з випадковими іменами. У деяких випадках це може призвести до перевантаження сервісу і, безумовно, нервує інших учасників IRC-каналу.