Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Il s'agit d'un virus-virus qui se propage via Internet relié à des e-mails infectés, et qui se propage via des canaux IRC et infecte un serveur IIS. Il se protège également des programmes anti-virus.

Le ver lui-même est un fichier Windows PE EXE, 14336 octets de longueur, et est écrit en Visual Basic 6. Il est emballé dans un programme UPX. Après déballage, il fait 53 Kb. Il contient les chaînes de texte suivantes:

W32.Karen par Gobo … bonne anniversaire fille !!! cris: W1z, Merl, NM, et quiconque d'autre. #teamvirus sur Undernet … dis bonjour. bob est le roi des bots 🙂

Les messages infectés contiennent les éléments suivants:

Le sujet est l'un des 15 variantes:

Si j'étais Dieu et ne croyais pas en moi, ce serait un blasphème
L'A-Team VS KnightRider … qui gagnerait?
Juste un baiser, va le rendre meilleur. juste un baiser, et nous irons bien.
Je ne peux pas aider ce désir, me consoler. Li> Tu me manques surtout, ma chérie …
… Quand les feuilles d'automne commencent à tomber
Il fait sombre ici, vous pouvez le sentir tout autour. Le souterrain.
Je serai toujours avec toi parfois noir parfois blanc …
.. et il n'y a pas besoin d'avoir peur, vous êtes toujours dans mon esprit.
Vous venez de faire un pas de géant, un pas de plus.
L'air te retiendra si tu essayes, fais confiance à mes ailes de désir. Gloire, glorifiée …….
Les horizons se penchent en avant, nous offrant l'espace pour placer de nouvelles étapes de changement.
J'aime ce calme, quelques instants avant la tempête Darling, quand es-tu tombé … quand est-ce fini?
Voulez-vous me rencontrer …. et nous allons s'envoler?!

Joindre le nom du fichier est aléatoire. Il en a un parmi les extensions suivantes:
.exe, .pif, .scr, .bat, .com

Les exemples de noms sont les suivants:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Le corps du message est l'une des 4 variantes suivantes:

Hey

Ils disent que l'amour est aveugle … eh bien, l'attachement le prouve probablement. Assez bien non plus, n'est-ce pas?

Tu devrais aimer ça, ça aurait pu être fait pour que tu te parles plus tard

Joyeux anniversaire Ouais ok, donc ce n'est pas le tien c'est le mien 🙂 toujours la cause d'une fête cependant, regarde les détails que j'ai joints

Cela m'a fait rire. Vous avez plus de choses à vous dire plus tard, mais je ne peux pas m'arrêter maintenant, je vous enverrai un courriel plus tard ou vous donnerai un coup de fil si ça va?! Je te parle plus tard

Installation

Lors de l'installation, le ver se copie dans le répertoire système Windows avec le nom KAREN.EXE et enregistre ce fichier dans la clé d'exécution automatique du registre système.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Diffusion par courrier électronique

Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook.

Gokar1.bmp

Diffusion via les canaux IRC

Le ver écrase le fichier C: MIRCSCRIPT.INI dans le nouveau fichier de script.

Ce script envoie un fichier EXE à chaque utilisateur rejoignant le canal infecté. Il envoie également le message suivant:

Si cela ne vous fait pas sourire, rien ne le fera.

Il change le surnom d'un utilisateur à ce qui suit:

karen, ver, virus, sexe

Le script ignore les utilisateurs qui envoient les textes ::

script, infecté, dcc, script, infecté

Il rejoint le canal #teamvirus s'il recive un texte avec char 'e'.

Infecter le serveur IIS

Le ver écrase le fichier C: INETPUBWWWROOTDEFAULT.HTM avec son code et se copie dans le répertoire C: INETPUBWWROROOT avec le nom WEB.EXE. Le nouveau DEFAULT.HTM contient un lien vers le fichier WEB.EXE. Il a aussi un commentaire de texte:

Par conséquent, le serveur IIS local est infecté par le ver.

Protéger des programmes antiviraux

Lors de l'installation dans le système informatique, le ver scanne les processus en cours. Il vérifie leurs noms à partir de la liste suivante:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

Le ver termine ces processus en mémoire.

Lien vers l'original

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Il s'agit d'un virus-virus qui se propage via Internet relié à des e-mails infectés, et qui se propage via des canaux IRC et infecte un serveur IIS. Il se protège également des programmes anti-virus. Le ver lui-même est un fichier Windows PE EXE, 14336 octets de longueur, et est écrit en Visual Basic 6. Il est emballé dans un programme UPX. Après déballage, il fait 53 Kb. Il contient les chaînes de texte suivantes: W32.Karen par Gobo … bonne anniversaire fille !!! cris: W1z, Merl, NM, et quiconque d'autre. #teamvirus sur Undernet … dis bonjour. bob est le roi des bots 🙂 Les messages infectés contiennent les éléments suivants: Le sujet est l'un des 15 variantes: Si j'étais Dieu et ne croyais pas en moi, ce serait un blasphème L'A-Team VS KnightRider … qui gagnerait? Juste un baiser, va le rendre meilleur. juste un baiser, et nous irons bien. Je ne peux pas aider ce désir, me consoler. Li> Tu me manques surtout, ma chérie … … Quand les feuilles d'automne commencent à tomber Il fait sombre ici, vous pouvez le sentir tout autour. Le souterrain. Je serai toujours avec toi parfois noir parfois blanc … .. et il n'y a pas besoin d'avoir peur, vous êtes toujours dans mon esprit. Vous venez de faire un pas de géant, un pas de plus. L'air te retiendra si tu essayes, fais confiance à mes ailes de désir. Gloire, glorifiée ……. Les horizons se penchent en avant, nous offrant l'espace pour placer de nouvelles étapes de changement. J'aime ce calme, quelques instants avant la tempête Darling, quand es-tu tombé … quand est-ce fini? Voulez-vous me rencontrer …. et nous allons s'envoler?! Joindre le nom du fichier est aléatoire. Il en a un parmi les extensions suivantes: .exe, .pif, .scr, .bat, .com Les exemples de noms sont les suivants: 3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr Le corps du message est l'une des 4 variantes suivantes: Hey Ils disent que l'amour est aveugle … eh bien, l'attachement le prouve probablement. Assez bien non plus, n'est-ce pas? Tu devrais aimer ça, ça aurait pu être fait pour que tu te parles plus tard Joyeux anniversaire Ouais ok, donc ce n'est pas le tien c'est le mien 🙂 toujours la cause d'une fête cependant, regarde les détails que j'ai joints Cela m'a fait rire. Vous avez plus de choses à vous dire plus tard, mais je ne peux pas m'arrêter maintenant, je vous enverrai un courriel plus tard ou vous donnerai un coup de fil si ça va?! Je te parle plus tard Installation Lors de l'installation, le ver se copie dans le répertoire système Windows avec le nom KAREN.EXE et enregistre ce fichier dans la clé d'exécution automatique du registre système. HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe Diffusion par courrier électronique Pour envoyer des messages infectés, le ver utilise MS Outlook et envoie des messages à toutes les adresses trouvées dans le carnet d'adresses Outlook. Gokar1.bmp Diffusion via les canaux IRC Le ver écrase le fichier C: MIRCSCRIPT.INI dans le nouveau fichier de script. Ce script envoie un fichier EXE à chaque utilisateur rejoignant le canal infecté. Il envoie également le message suivant: Si cela ne vous fait pas sourire, rien ne le fera. Il change le surnom d'un utilisateur à ce qui suit: karen, ver, virus, sexe Le script ignore les utilisateurs qui envoient les textes :: script, infecté, dcc, script, infecté Il rejoint le canal #teamvirus s'il recive un texte avec char 'e'. Infecter le serveur IIS Le ver écrase le fichier C: INETPUBWWWROOTDEFAULT.HTM avec son code et se copie dans le répertoire C: INETPUBWWROROOT avec le nom WEB.EXE. Le nouveau DEFAULT.HTM contient un lien vers le fichier WEB.EXE. Il a aussi un commentaire de texte: Par conséquent, le serveur IIS local est infecté par le ver. Protéger des programmes antiviraux Lors de l'installation dans le système informatique, le ver scanne les processus en cours. Il vérifie leurs noms à partir de la liste suivante: : VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stopw.exe Le ver termine ces processus en mémoire.
	Lien vers l'original

Email-Worm.Win32.Gokar

Détails techniques