Alle grote beveiligingsbedrijven waarschuwden dinsdag voor de worm. McAfee gaf de worm de kwalificatie `high risk' mee, Symantec heeft de worm op niveau 4 (van maximaal 5) ingeschaald. Anders dan het recente BadTrans.B-virus maakt Goner geen gebruik van bestaande beveiligingslekken. De worm verspreidt zich via het zogeheten `social engineering': de ontvanger wordt uitgedaagd om een attachment te openen. Het schadelijke attachment wordt in het begeleidende mailtje voorgesteld als een screensaver. In de subjectregel van de e-mail staat `hi'. De tekst in het mailtje is: ` How are you? When I saw this screensaver, I immediately thought about you! I am in a harry, I promise you will love it!'. "Het is social engineering, maar niet eens echt goede", aldus beveiligingsdeskundige André Post van Symantec. "Maar toch werkt het weer, ondanks alle waarschuwingen om voorzichtig te zijn met het openen van attachments." Wanneer het attachment `Gone.scr' wordt geopend, probeert de worm een reeks bestanden te verwijderen. Daaronder bevindt zich antivirussoftware van Symantec, McAfee en Kaspersky en de firewallsoftware Zone Alarm van ZoneLabs. Na infectie met de worm wordt bovendien een venster geopend waarin de makers, in de stijl van defacements van websites, de groeten doen aan allerlei mensen. Al te effectief zou de worm niet zijn. ZoneLabs claimt dat de worm weliswaar de gebruikersinterface kan verwijderen, maar niet het onderliggende programma. Voor de meeste antivirussoftware is inmiddels een update uitgebracht die verwijdering onmogelijk maakt. "Alleen de eerste golf ontvangers liep echt gevaar", zo zegt Post. Goner stuurt zichzelf, als gebruikelijk, na infectie door naar alle e-mailadressen in het adresboek van Microsoft Outlook. De worm installeert tevens een backdoorprogramma waarmee hij zichzelf kan verspreiden via ICQ. "Maar bij vrijwel alle meldingen die wij hebben ontvangen gaat het toch om Outlook", aldus Post. MessageLabs onderschepte dinsdagavond al bijna 40.000 besmette e-mails. Volgens het antivirusbedrijf bevatte op een bepaald moment gisteren één op de 30 mailtjes de worm. Daarmee benadert het virus het LoveLetter-virus, dat op zijn hoogtepunt in één op de 28 mailtjes zat, aldus MessageLabs. De meest recente virussen nestelden zich volgens het bedrijf op hun piek in één op de 100 of 150 e-mails.