Popis |
Technické údaje
Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům, odesílá se přes IRC kanály a infikuje server IIS. Také se chrání před antivirovými programy.
Červ samotný je soubor Windows PE EXE o délce 14336 bajtů a je napsán v jazyce Visual Basic 6. Je zabalen v programu UPX. Po rozbalení má velikost 53 kb. Obsahuje následující textové řetězce:
W32.Karen by Gobo … šťastná narozenina !!! výkřiky: W1z, Merl, NM a kdo jiný. #teamvirus na Undernetu … ahoj. bob je král robotů 🙂
Infikované zprávy obsahují následující:
Předmět je jedním z 15 variant:
- Kdybych byl Bůh a nevěřil jsem sám, bylo by to rouhání
- A-Team VS KnightRider … kdo by vyhrál?
- Jen jeden polibek to udělá lépe. jen jeden polibek a budeme v pořádku.
- Nemůžu pomoci tou touhu, utěšit mě. Li> a nejvíc mi mi chybí, miláčku …
- … Když začnou padat podzimní listí
- Tady je tma, můžete to cítit všude. Podzemí.
- Budu vždy s tebou někdy černá někdy bílá …
- .. a není třeba se bát, vždycky jsi na mysl.
- Jen udělej obrovský krok o krok výš.
- Vzduch vás udrží, pokud se pokusíte, důvěřujte svým křídly touhy. Sláva, oslavená …….
- Obzory se nakloní dopředu a nabízejí nám prostor pro nové změny.
- Mám rád tento klid, chvíle před bouří Darlingovou, kdy jsi padl … když to skončilo?
- Budete se s vámi setkat … a my odletíme?
Připojit název souboru je náhodný. Má jednu z následujících rozšíření: .exe, .pif, .scr, .bat, .com
Názvy vzorků jsou následující:
3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr
Tělo zprávy je jedno z následujících 4 variant:
Ahoj
- Říkají, že láska je slepá … no, připoutání to pravděpodobně dokazuje. Ale docela dobrá, není to tak?
- Měli byste to rádi, mohlo by to být pro vás, abyste s vámi mluvili později
- Všechno nejlepší k narozeninám Jo jo, tak to není tvoje, je to moje 🙂 stále způsobuje oslavu ačkoli, podívejte se na detaily jsem připojil
- To mě rozesmálo Máte ještě nějaké věci, které vám to řeknou později, ale teď se nemohu zastavit, takže vám posílám e-mailem později nebo vám dám prsten, pokud je to v pořádku? Promluvíme si později
Instalace
Během instalace se červ sám zkopíruje do systémového adresáře systému Windows se jménem KAREN.EXE a registruje tento soubor v klíči automatického spuštění registru systému.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe
Šíření prostřednictvím e-mailu
Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook.
Gokar1.bmp
Šíření přes IRC kanály
Červ přepsá soubor C: MIRCSCRIPT.INI do nového souboru skriptu.
Tento skript odešle soubor EXE každému uživateli, který se připojil k infikovanému kanálu. Posílá také následující zprávu:
Pokud vám to nedělá úsměv, nic nebude.
Změní přezdívku uživatele na následující:
karen, červ, virus, sex
Skript ignoruje uživatele, kteří posílají texty ::
skript, infikovaný, dcc, skript, infikovaný
Připojí se k kanálu # teamvirus, pokud přijímá text s char 'e'.
Infikování serveru IIS
Červ přepsá soubor C: INETPUBWWWROOTDEFAULT.HTM kódem a zkopíruje do adresáře C: INETPUBWWWROOT s názvem WEB.EXE. Nový soubor DEFAULT.HTM obsahuje odkaz na soubor WEB.EXE. Má také textový komentář:
Výsledkem je, že místní server IIS je infikován červem.
Ochrana proti antivirovým programům
Během instalace do počítačového systému červa kontroluje spuštěné procesy. Kontroluje jejich jména z následujícího seznamu:
:
VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stopw.exe
Červ ukončí tyto procesy v paměti.
|