Beschreibung |
Technische Details
Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails anmeldet und sich über IRC-Kanäle sendet und einen IIS-Server infiziert. Es schützt sich auch vor Antivirenprogrammen.
Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von 14336 Byte und ist in Visual Basic 6 geschrieben. Er ist in ein UPX-Programm gepackt. Nach dem Auspacken ist es 53 Kb groß. Es enthält die folgenden Textzeichenfolgen:
W32.Karen von Gobo … alles Gute zum Geburtstag Mädchen !!! schreit: W1z, Merl, NM und wer auch immer. #teamvirus auf Undernet … sag hallo. Bob ist der König der Bots 🙂
Infizierte Nachrichten enthalten Folgendes:
Thema ist eins aus den 15 Varianten:
- Wenn ich Gott wäre und nicht an mich selbst glauben würde, wäre es Blasphemie
- Das A-Team VS KnightRider … wer würde gewinnen?
- Nur ein Kuss, wird es besser machen. nur ein Kuss, und alles wird gut.
- Ich kann dieser Sehnsucht nicht widerstehen, tröste mich. Li> Und ich vermisse dich am allermeisten, mein Schatz …
- … Wenn der Herbst beginnt zu fallen
- Es ist dunkel hier, du kannst es überall spüren. Die U-Bahn.
- Ich werde immer bei dir sein manchmal schwarz manchmal weiß …
- .. und es gibt keine Notwendigkeit, Angst zu haben, du bist immer in meinen Gedanken.
- Du machst nur einen riesigen Schritt, einen Schritt höher.
- Die Luft wird dich halten, wenn du versuchst, vertraue meinen Flügeln der Begierde. Ruhm, gepriesen …
- Die Horizonte lehnen sich nach vorne und bieten uns Raum für neue Veränderungsschritte.
- Ich mag diese Ruhe, Momente vor dem Sturm Liebling, wann bist du gefallen … Wann war es vorbei?
- Wirst du mich treffen … und wir werden wegfliegen?
Attach Dateiname ist zufällig. Es hat eine der folgenden Erweiterungen: .exe, .pif, .scr, .bat, .com
Beispielnamen sind wie folgt:
3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr
Der Nachrichtentext ist eine der folgenden 4 Varianten:
Hallo
- Sie sagen, Liebe ist blind … nun, der Anhang beweist es wahrscheinlich. Ziemlich gut oder so, nicht wahr?
- Du solltest das mögen, es könnte für dich gemacht worden sein, um später mit dir zu sprechen
- Happy Birthday Yeah ok, also ist es nicht deins, es ist meins 🙂 immer noch Anlass für eine Feier, schau dir doch die Details an, die ich angehängt habe
- Das brachte mich zum Lachen. Ich habe noch ein paar Sachen, die ich dir später erzählen kann, aber ich kann jetzt nicht aufhören, also werde ich dir später eine E-Mail schicken oder dir einen Ring geben, wenn das okay ist ?! Wir reden später
Installation
Während der Installation kopiert sich der Wurm in das Windows-Systemverzeichnis mit dem Namen KAREN.EXE und registriert diese Datei im Registrierungsschlüssel für die Systemregistrierung.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe
Verbreitung per E-Mail
Um infizierte Nachrichten zu senden, verwendet der Wurm MS Outlook und sendet Nachrichten an alle Adressen im Outlook-Adressbuch.
Gokar1.bmp
Verbreitung über IRC-Kanäle
Der Wurm überschreibt die Datei C: MIRCSCRIPT.INI in der neuen Skriptdatei.
Dieses Skript sendet eine EXE-Datei an jeden Benutzer, der dem infizierten Kanal beitritt. Es sendet auch die folgende Nachricht:
Wenn dich das nicht zum Lächeln bringt, wird das nichts.
Es ändert den Nickname eines Benutzers in den folgenden:
Karen, Wurm, Virus, Sex
Das Skript ignoriert Benutzer, die die Texte senden:
Skript, infiziert, dcc, Skript, infiziert
Es verbindet den Kanal # Teamvirus, wenn es einen Text mit Char 'e' erhält.
IIS-Server infizieren
Der Wurm überschreibt die Datei C: INETPUBWWWROOTDEFAULT.HTM mit seinem Code und kopiert sich selbst in das Verzeichnis C: INETPUBWWWROOT mit dem Namen WEB.EXE. Das neue DEFAULT.HTM enthält einen Link zu der Datei WEB.EXE. Es hat auch einen Textkommentar:
Daher wird der lokale IIS-Server vom Wurm infiziert.
Schutz vor antiviralen Programmen
Während der Installation im Computersystem scannt der Wurm die laufenden Prozesse. Es überprüft ihre Namen von der folgenden Liste:
:
VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stop.exe
Der Wurm beendet diese Prozesse im Speicher.
|