Email-Worm.Win32.Gokar

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь также рассылает себя через каналы IRC и заражает IIS сервер. Червь активно противодействует антивирусным программам.

Червь является приложением Windows (PE EXE-файл), имеет размер 14336 байт, написан на Visual Basic 6. Файл упакован утилитой UPX. После распаковки его размер около 53 Кб. Он содержит внутри себя строки текста:


W32.Karen by Gobo … happy birthday girl !!! shouts : W1z, Merl, NM, and whoever else.
#teamvirus on Undernet … say hello. bob is the king of bots 🙂

Зараженные письма содержат:

Заголовок, один из 15 вариантов:

  • If I were God and didn’t belive in myself would it be blasphemy
  • The A-Team VS KnightRider … who would win ?
  • Just one kiss, will make it better. just one kiss, and we will be alright.
  • I can’t help this longing, comfort me.
  • And I miss you most of all, my darling …
  • … When autumn leaves start to fall
  • It’s dark in here, you can feel it all around. The underground.
  • I will always be with you sometimes black sometimes white …
  • .. and there’s no need to be scared, you re always on my mind.
  • You just take a giant step, one step higher.
  • The air will hold you if you try, trust my wings of desire. Glory, Glorified…….
  • The horizons lean forward, offering us space to place new steps of change.
  • I like this calm, moments before the storm
  • Darling, when did you fall..when was it over ?
  • Will you meet me …. and we’ll fly away ?!

Имя файла-вложения формируется случайным образом. Расширения имени файла выбираются из списка:

.exe, .pif, .scr, .bat, .com

Примеры сгенерированных имен:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Текст сообщения выбирается из 4-ех вариантов:

  • Hey
    They say love is blind … well, the attachment probably proves it. Pretty good either way though, isn’t it ?

  • You should like this, it could have been made for you speak to you later
  • Happy Birthday
    Yeah ok, so it’s not yours it’s mine 🙂
    still cause for a celebration though, check out the details I attached

  • This made me laugh
    Got some more stuff to tell you later but I can’t stop right now so I’ll email you later or give you a ring if thats ok ?!
    Speak to you later

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При инсталляции червь копирует себя в каталог Windows с именем KAREN.EXE с атрибутом скрытый и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Рассылка писем

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Рассылка через каналы IRC

Червь перезаписывает в каталоге C:MIRC файл SCRIPT.INI своим скриптом. Новый скрипт рассылает дропер вируса, файл KAREN.EXE пользователям, входящим в канал. Также он посылает сообщение:


If this doesn’t make you smile, nothing will.

Скрипт переименовывает пользователя на W32_Karen, W32Karen1, KarenWorm, KarenGobo если в к нему приходят строки текста: файл также содержит строки текста:


karen, worm, virus, sex

Игнорирует пользователя от которого приходит текст:

script, infected, dcc, script, infected

Подключается к каналу #teamvirus, если получает строку с буквой ‘e’.

Заражение IIS-сервера

Червь перезаписывает файл C:INETPUBWWWROOTDEFAULT.HTM своим кодом и копирует себя в каталог C:INETPUBWWWROOT под именем WEB.EXE. Новый DEFAULT.HTM содержит ссылку на файл WEB.EXE. HTM-файл содержит комментарий:

!— Gobo 04/12/01 —

В результате локальный IIS-сервер оказывается заражен червем.

Противодействие антивирусным программам

Червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:


VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess.