Email-Worm.Win32.Goner

Technické údaje

Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a odesílá se prostřednictvím internetového pageru ICQ. Napadne kanál IRC pomocí trojského skriptu a chrání se před antivirovými programy.

Červ samotný je soubor Windows PE EXE o délce 38 kB a napsaný v jazyce Visual Basic. Je balený programem UPX. Po rozbalení má velikost 148 kB.

Infikovaná zpráva obsahuje:

Červ aktivuje infikovaný e-mail pouze tehdy, když uživatel klepne na připojený soubor. Poté se instaluje do systému a rozšiřuje rutinní a užitečné zatížení. Zobrazuje animované okna s následujícím textem:

Pak se zobrazí následující dialogové okno:

Instalace

Během instalace se červeň zkopíruje do systémového adresáře systému Windows s názvem GONE.SCR a zaregistruje tento soubor v klíči automatického spuštění registru systému.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun C: WINDOWSSYSTEMGONE.SCR = C: WINDOWSSYSTEMGONE.SCR

Poté se červ pokusí skrýt hlavní okno a pokračuje v šíření.

Šíření prostřednictvím e-mailu

Za účelem zasílání infikovaných zpráv používá červa MS Outlook a posílá zprávy všem adresám nacházejícím se v adresáři aplikace Outlook.

{Goner3.bmp}

Šíření prostřednictvím ICQ

Červ se šíří prostřednictvím klienta ICQ. Používá knihovnu ICQMAPI.DLL, kterou červ červi zkopíruje z adresáře C: PROGRAM FILESICQ do adresáře systému Windows. Odpovídá klientskému programu a hledá okna dialogu ze seznamu a požadavky na odpovědi. Seznamy oken jsou následující:

Odeslat soubor online
Odeslat žádost o soubor online

Červ periodicky hledá okna a zavírá je. Názvy oken jsou následující:

Uživatel odmítl vaši žádost
Nelze odeslat žádost o soubor
Odeslat soubor online [Uživatel je v režimu N / A]
Poslat soubor online [Uživatel je pryč]
Odeslat soubor online [Uživatel je obsazen]
Odeslat soubor online [Uživatel je v režimu DND]
Uživatel odmítl vaši žádost
Nelze odeslat žádost o soubor
Odeslat žádost o soubor online [Uživatel je v režimu N / A]
Odeslat žádost o soubor online [Uživatel je pryč]
Odeslat žádost o soubor online [Uživatel je obsazen]
Odeslat žádost o soubor online [Uživatel je v režimu DND]

Útok na IRC kanál

Červ vyhledá místní adresáře pro soubor MIRC.INI a vytvoří nový soubor REMOTE32.INI v tomto adresáři a přidá jej do souboru MIRC.INI. Tento skript se pravidelně připojí k uživateli s náhodným jménem na kanálu IRC #pentagonex na serveru twisted.ma.us.dal.net.

Ochrana proti programům Anti-Virus

Při instalaci do počítačového systému červa kontroluje spuštěné procesy a kontroluje jména z následujícího seznamu:

FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C: SAFEWEB

Červ ukončí tento proces v paměti a vymaže soubor z disku. Pak vymaže všechny soubory v adresáři procesu se soubory v podadresářích. Červ hledá zbývající soubory a po restartování počítače nastaví jeho odstranění. Přidá příkazy odstranění do souboru WININIT.INI