Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům, odesílá se přes IRC kanály a infikuje server IIS. Také se chrání před antivirovými programy.

Červ samotný je soubor Windows PE EXE o délce 14336 bajtů a je napsán v jazyce Visual Basic 6. Je zabalen v programu UPX. Po rozbalení má velikost 53 kb. Obsahuje následující textové řetězce:

W32.Karen by Gobo … šťastná narozenina !!! výkřiky: W1z, Merl, NM a kdo jiný. #teamvirus na Undernetu … ahoj. bob je král robotů 🙂

Infikované zprávy obsahují následující:

Předmět je jedním z 15 variant:

Kdybych byl Bůh a nevěřil jsem sám, bylo by to rouhání
A-Team VS KnightRider … kdo by vyhrál?
Jen jeden polibek to udělá lépe. jen jeden polibek a budeme v pořádku.
Nemůžu pomoci tou touhu, utěšit mě. Li> a nejvíc mi mi chybí, miláčku …
… Když začnou padat podzimní listí
Tady je tma, můžete to cítit všude. Podzemí.
Budu vždy s tebou někdy černá někdy bílá …
.. a není třeba se bát, vždycky jsi na mysl.
Jen udělej obrovský krok o krok výš.
Vzduch vás udrží, pokud se pokusíte, důvěřujte svým křídly touhy. Sláva, oslavená …….
Obzory se nakloní dopředu a nabízejí nám prostor pro nové změny.
Mám rád tento klid, chvíle před bouří Darlingovou, kdy jsi padl … když to skončilo?
Budete se s vámi setkat … a my odletíme?

Připojit název souboru je náhodný. Má jednu z následujících rozšíření:
.exe, .pif, .scr, .bat, .com

Názvy vzorků jsou následující:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Tělo zprávy je jedno z následujících 4 variant:

Ahoj

Říkají, že láska je slepá … no, připoutání to pravděpodobně dokazuje. Ale docela dobrá, není to tak?

Měli byste to rádi, mohlo by to být pro vás, abyste s vámi mluvili později

Všechno nejlepší k narozeninám Jo jo, tak to není tvoje, je to moje 🙂 stále způsobuje oslavu ačkoli, podívejte se na detaily jsem připojil

To mě rozesmálo Máte ještě nějaké věci, které vám to řeknou později, ale teď se nemohu zastavit, takže vám posílám e-mailem později nebo vám dám prsten, pokud je to v pořádku? Promluvíme si později

Instalace

Během instalace se červ sám zkopíruje do systémového adresáře systému Windows se jménem KAREN.EXE a registruje tento soubor v klíči automatického spuštění registru systému.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Šíření prostřednictvím e-mailu

Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook.

Gokar1.bmp

Šíření přes IRC kanály

Červ přepsá soubor C: MIRCSCRIPT.INI do nového souboru skriptu.

Tento skript odešle soubor EXE každému uživateli, který se připojil k infikovanému kanálu. Posílá také následující zprávu:

Pokud vám to nedělá úsměv, nic nebude.

Změní přezdívku uživatele na následující:

karen, červ, virus, sex

Skript ignoruje uživatele, kteří posílají texty ::

skript, infikovaný, dcc, skript, infikovaný

Připojí se k kanálu # teamvirus, pokud přijímá text s char 'e'.

Infikování serveru IIS

Červ přepsá soubor C: INETPUBWWWROOTDEFAULT.HTM kódem a zkopíruje do adresáře C: INETPUBWWWROOT s názvem WEB.EXE. Nový soubor DEFAULT.HTM obsahuje odkaz na soubor WEB.EXE. Má také textový komentář:

Výsledkem je, že místní server IIS je infikován červem.

Ochrana proti antivirovým programům

Během instalace do počítačového systému červa kontroluje spuštěné procesy. Kontroluje jejich jména z následujícího seznamu:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

Červ ukončí tyto procesy v paměti.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům, odesílá se přes IRC kanály a infikuje server IIS. Také se chrání před antivirovými programy. Červ samotný je soubor Windows PE EXE o délce 14336 bajtů a je napsán v jazyce Visual Basic 6. Je zabalen v programu UPX. Po rozbalení má velikost 53 kb. Obsahuje následující textové řetězce: W32.Karen by Gobo … šťastná narozenina !!! výkřiky: W1z, Merl, NM a kdo jiný. #teamvirus na Undernetu … ahoj. bob je král robotů 🙂 Infikované zprávy obsahují následující: Předmět je jedním z 15 variant: Kdybych byl Bůh a nevěřil jsem sám, bylo by to rouhání A-Team VS KnightRider … kdo by vyhrál? Jen jeden polibek to udělá lépe. jen jeden polibek a budeme v pořádku. Nemůžu pomoci tou touhu, utěšit mě. Li> a nejvíc mi mi chybí, miláčku … … Když začnou padat podzimní listí Tady je tma, můžete to cítit všude. Podzemí. Budu vždy s tebou někdy černá někdy bílá … .. a není třeba se bát, vždycky jsi na mysl. Jen udělej obrovský krok o krok výš. Vzduch vás udrží, pokud se pokusíte, důvěřujte svým křídly touhy. Sláva, oslavená ……. Obzory se nakloní dopředu a nabízejí nám prostor pro nové změny. Mám rád tento klid, chvíle před bouří Darlingovou, kdy jsi padl … když to skončilo? Budete se s vámi setkat … a my odletíme? Připojit název souboru je náhodný. Má jednu z následujících rozšíření: .exe, .pif, .scr, .bat, .com Názvy vzorků jsou následující: 3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr Tělo zprávy je jedno z následujících 4 variant: Ahoj Říkají, že láska je slepá … no, připoutání to pravděpodobně dokazuje. Ale docela dobrá, není to tak? Měli byste to rádi, mohlo by to být pro vás, abyste s vámi mluvili později Všechno nejlepší k narozeninám Jo jo, tak to není tvoje, je to moje 🙂 stále způsobuje oslavu ačkoli, podívejte se na detaily jsem připojil To mě rozesmálo Máte ještě nějaké věci, které vám to řeknou později, ale teď se nemohu zastavit, takže vám posílám e-mailem později nebo vám dám prsten, pokud je to v pořádku? Promluvíme si později Instalace Během instalace se červ sám zkopíruje do systémového adresáře systému Windows se jménem KAREN.EXE a registruje tento soubor v klíči automatického spuštění registru systému. HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe Šíření prostřednictvím e-mailu Chcete-li odeslat infikované zprávy, používá červa MS Outlook a odesílá zprávy všem adresám, které jsou v adresáři aplikace Outlook. Gokar1.bmp Šíření přes IRC kanály Červ přepsá soubor C: MIRCSCRIPT.INI do nového souboru skriptu. Tento skript odešle soubor EXE každému uživateli, který se připojil k infikovanému kanálu. Posílá také následující zprávu: Pokud vám to nedělá úsměv, nic nebude. Změní přezdívku uživatele na následující: karen, červ, virus, sex Skript ignoruje uživatele, kteří posílají texty :: skript, infikovaný, dcc, skript, infikovaný Připojí se k kanálu # teamvirus, pokud přijímá text s char 'e'. Infikování serveru IIS Červ přepsá soubor C: INETPUBWWWROOTDEFAULT.HTM kódem a zkopíruje do adresáře C: INETPUBWWWROOT s názvem WEB.EXE. Nový soubor DEFAULT.HTM obsahuje odkaz na soubor WEB.EXE. Má také textový komentář: Výsledkem je, že místní server IIS je infikován červem. Ochrana proti antivirovým programům Během instalace do počítačového systému červa kontroluje spuštěné procesy. Kontroluje jejich jména z následujícího seznamu: : VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stopw.exe Červ ukončí tyto procesy v paměti.
	Odkaz na originál

Email-Worm.Win32.Gokar

Technické údaje