ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Gokar

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de virus que se propaga a través de Internet conectado a correos electrónicos infectados, y se envía a través de canales IRC e infecta un servidor IIS. También se protege de los programas antivirus.

El gusano en sí es un archivo EXE de Windows PE, 14336 bytes de longitud, y está escrito en Visual Basic 6. Está empaquetado en un programa UPX. Después de desempacar, tiene un tamaño de 53 Kb. Contiene las siguientes cadenas de texto:

    W32.Karen por Gobo … feliz cumpleaños niña !!! gritos: W1z, Merl, NM y quien sea. #teamvirus en Undernet … saludar. Bob es el rey de los bots 🙂

Los mensajes infectados contienen lo siguiente:

El sujeto es una de las 15 variantes:

  • Si fuera Dios y no creyera en mí, sería una blasfemia
  • El A-Team VS KnightRider … ¿quién ganaría?
  • Solo un beso, lo hará mejor. solo un beso, y estaremos bien.
  • No puedo evitar este anhelo, consuelame. Li> Y te extraño más que nada, querida …
  • … Cuando las hojas de otoño comienzan a caer
  • Está oscuro aquí, puedes sentirlo por todos lados. El metro.
  • Siempre estaré contigo algunas veces negro a veces blanco …
  • .. y no hay necesidad de tener miedo, siempre estás en mi mente.
  • Simplemente da un paso gigante, un paso más alto.
  • El aire te sostendrá si lo intentas, confía en mis alas de deseo. Gloria, glorificado …….
  • Los horizontes se inclinan hacia adelante, ofreciéndonos espacio para colocar nuevos pasos de cambio.
  • Me gusta esta calma, momentos antes de la tormenta Cariño, ¿cuándo te caíste … cuando terminó?
  • ¿Me conocerás … y volaremos?

El nombre del archivo adjunto es aleatorio. Tiene una de las siguientes extensiones:
.exe, .pif, .scr, .bat, .com

Los nombres de muestra son los siguientes:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

El cuerpo del mensaje es una de las siguientes 4 variantes:

Oye

  • Dicen que el amor es ciego … bueno, el accesorio probablemente lo demuestre. De todos modos, bastante bueno, ¿no?

  • Te gustaría esto, podría haberse hecho para que te hable más tarde

  • Feliz cumpleaños Sí, está bien, así que no es tuyo, es mío 🙂 Todavía es motivo de celebración, mira los detalles que adjunté

  • Esto me hizo reir. Tengo más cosas que contarte más tarde, pero no puedo parar ahora, así que te enviaré un correo electrónico más tarde o te daré un anillo si eso está bien. Te hablo luego

Instalación

Durante la instalación, el gusano se copia al directorio del sistema de Windows con el nombre KAREN.EXE y lo registra en la clave de ejecución automática del registro del sistema.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano usa MS Outlook y envía mensajes a todas las direcciones que se encuentran en la libreta de direcciones de Outlook.

Gokar1.bmp

Difundir a través de canales de IRC

El gusano sobrescribe el archivo C: MIRCSCRIPT.INI al nuevo archivo de script.

Este script envía un archivo EXE a cada usuario que se une al canal infectado. También envía el siguiente mensaje:

Si esto no te hace sonreír, nada lo hará.

Cambia el alias de un usuario a lo siguiente:

karen, gusano, virus, sexo

El script ignora a los usuarios que envían los textos ::

script, infectado, dcc, script, infectado

Se une al canal #teamvirus si recibe un texto con char 'e'.

Infectar el servidor IIS

El gusano sobrescribe el archivo C: INETPUBWWWROOTDEFAULT.HTM con su código y se copia en el directorio C: INETPUBWWWROOT con el nombre WEB.EXE. El nuevo DEFAULT.HTM contiene un enlace al archivo WEB.EXE. También tiene un comentario de texto:

Como resultado, el gusano infecta al servidor IIS local.

Protección contra programas antivirales

Durante la instalación en el sistema informático, el gusano escanea los procesos en ejecución. Comprueba sus nombres de la siguiente lista:

:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

El gusano termina estos procesos en la memoria.


Enlace al original