本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Gokar

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散し、IRCチャネル経由で自身を送信し、IISサーバーに感染するウイルスワームです。また、アンチウイルスプログラムから保護します。

ワーム自体はWindows PE EXEファイルで、14336バイトの長さで、Visual Basic 6で書かれています。これはUPXプログラムに含まれています。開梱後は53 Kbサイズです。それは以下のテキスト文字列を含んでいます:

    W32.Karen by Gobo …お誕生日おめでとう!!!叫び声:W1z、メル、NM、そして誰でも。 #teamvirus on Undernet …こんにちは。ボブはボットの王です:)

感染したメッセージには以下が含まれます:

件名は15種類から1つです:

  • もし私が神であり、自分自身で信じていなければ、それは冒涜であろう
  • AチームVSナイトライダー…誰が勝つのですか?
  • ちょうど1つのキスは、それをより良くするでしょう。ただ一つのキス、そして私たちは大丈夫です。
  • 私はこの憧れを助けることができない、私を慰める。李>そして私はあなたのすべてを、あなたの最も恋しい、私の最愛の人…
  • …秋の葉が落ち始めると
  • ここでは暗いです、あなたはそれを全周に感じることができます。地下。
  • 私はいつもあなたとときどき黒くなることがあります…
  • ..そして怖がる必要はない、あなたはいつも私の心の上にいる。
  • あなたは巨大な一歩を踏み出すだけです。
  • 空気があなたを抱きしめるなら、私の欲望の翼を信頼してください。栄光、栄光の……
  • 地平線は前方に傾いており、新しい変化のステップを踏み出すためのスペースを提供しています。
  • 私はこの穏やか、嵐の前に瞬間が好きダーリン、いつ落ちたの?終わったとき?
  • あなたは私に会いますか?私たちは飛びますか?

アタッチファイル名はランダムです。それは以下の拡張から1つを持っています:
.exe、.pif、.scr、.bat、.com

サンプル名は次のとおりです。

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

メッセージ本文は、次の4つの亜種です。

ねえ

  • 彼らは愛が盲目だと言う…まあ、添付ファイルはおそらくそれを証明します。どちらかというとかなり良いですね。

  • あなたはこれを好きにしなければなりません、後にあなたに話すために作られたかもしれません

  • ハッピーバースデーええ、それはあなたのものではないので、それは私のものです:)まだ祝賀のための原因、添付された詳細をチェックアウト

  • これは私を笑わせてくれました後であなたに伝えたいことがいくつかありましたが、私はすぐにやめることができませんので、後でメールを送ってください。じゃまた

インストール

インストール中、ワームは自分自身をWindowsシステムディレクトリにKAREN.EXEという名前でコピーし、そのファイルをシステムレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
カレン= karen.exe

電子メールによる広がり

ワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

Gokar1.bmp

IRCチャネルを介した広がり

ワームはファイルC:MIRCSCRIPT.INIを新しいスクリプトファイルに上書きします。

このスクリプトは、感染したチャネルに参加する各ユーザーにEXEファイルを送信します。また、次のメッセージを送信します。

これで笑顔にならないなら、何もしません。

ユーザーのニックネームは次のように変更されます。

カレン、ワーム、ウイルス、性別

スクリプトはテキストを送信するユーザーを無視します::

スクリプト、感染、dcc、スクリプト、感染

それはchar 'e'のテキストを受け取った場合、チャンネル#teamvirusに参加します。

IISサーバーへの感染

ワームはファイルC:INETPUBWWWROOTDEFAULT.HTMをそのコードで上書きし、自身をC:INETPUBWWWROOTというディレクトリにWEB.EXEという名前でコピーします。新しいDEFAULT.HTMには、WEB.EXEファイルへのリンクが含まれています。また、テキストコメントもあります。

その結果、ローカルIISサーバーがワームに感染します。

抗ウイルスプログラムからの保護

ワームは、コンピュータシステムにインストールしている間、実行中のプロセスをスキャンします。次のリストから名前を確認します。

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

ワームは、これらのプロセスをメモリ内で終了させます。


オリジナルへのリンク