Email-Worm.Win32.Gokar

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:

• файловые;
• загрузочные;
• макровирусы;
• скриптовые.

Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: Email-Worm

Размножаются по каналам электронной почты. При этом червь отсылает свою копию в виде вложения в электронное письмо или ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, ссылку (URL) на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях результат одинаков — активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены: • прямое подключение к SMTP-серверу, с использованием встроенной в код червя почтовой библиотеки; • использование сервисов MS Outlook; • использование функций Windows MAPI. Почтовые черви используют различные источники для поиска почтовых адресов, на которые будут рассылаться зараженные письма: • адресная книга MS Outlook; • адресная база WAB; • файлы текстового формата на жестком диске: выделяют в них строки, являющиеся адресами электронной почты; • письма, которые находятся в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма). Многие почтовые черви используют сразу несколько из перечисленных источников. Бывают и другие источники адресов электронной почты, например адресные книги почтовых сервисов с web-интерфейсом.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь также рассылает себя через каналы IRC и заражает IIS сервер. Червь активно противодействует антивирусным программам.

Червь является приложением Windows (PE EXE-файл), имеет размер 14336 байт, написан на Visual Basic 6. Файл упакован утилитой UPX. После распаковки его размер около 53 Кб. Он содержит внутри себя строки текста:

W32.Karen by Gobo ... happy birthday girl !!! shouts : W1z, Merl, NM, and whoever else.
#teamvirus on Undernet ... say hello. bob is the king of bots :)

Зараженные письма содержат:

Заголовок, один из 15 вариантов:

• If I were God and didn't belive in myself would it be blasphemy
• The A-Team VS KnightRider ... who would win ?
• Just one kiss, will make it better. just one kiss, and we will be alright.
• I can't help this longing, comfort me.
• And I miss you most of all, my darling ...
• ... When autumn leaves start to fall
• It's dark in here, you can feel it all around. The underground.
• I will always be with you sometimes black sometimes white ...
• .. and there's no need to be scared, you re always on my mind.
• You just take a giant step, one step higher.
• The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
• The horizons lean forward, offering us space to place new steps of change.
• I like this calm, moments before the storm
• Darling, when did you fall..when was it over ?
• Will you meet me .... and we'll fly away ?!

Имя файла-вложения формируется случайным образом. Расширения имени файла выбираются из списка:

.exe, .pif, .scr, .bat, .com

Примеры сгенерированных имен:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Текст сообщения выбирается из 4-ех вариантов:

• Hey
  They say love is blind ... well, the attachment probably proves it. Pretty good either way though, isn't it ?
• You should like this, it could have been made for you speak to you later
• Happy Birthday
  Yeah ok, so it's not yours it's mine :) still cause for a celebration though, check out the details I attached
• This made me laugh
  Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?!
  Speak to you later

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При инсталляции червь копирует себя в каталог Windows с именем KAREN.EXE с атрибутом скрытый и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Рассылка писем

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Рассылка через каналы IRC

Червь перезаписывает в каталоге C:MIRC файл SCRIPT.INI своим скриптом. Новый скрипт рассылает дропер вируса, файл KAREN.EXE пользователям, входящим в канал. Также он посылает сообщение:

If this doesn't make you smile, nothing will.

Скрипт переименовывает пользователя на W32_Karen, W32Karen1, KarenWorm, KarenGobo если в к нему приходят строки текста: файл также содержит строки текста:

karen, worm, virus, sex

Игнорирует пользователя от которого приходит текст:

script, infected, dcc, script, infected

Подключается к каналу #teamvirus, если получает строку с буквой 'e'.

Заражение IIS-сервера

Червь перезаписывает файл C:INETPUBWWWROOTDEFAULT.HTM своим кодом и копирует себя в каталог C:INETPUBWWWROOT под именем WEB.EXE. Новый DEFAULT.HTM содержит ссылку на файл WEB.EXE. HTM-файл содержит комментарий:

!-- Gobo 04/12/01 --

В результате локальный IIS-сервер оказывается заражен червем.

Противодействие антивирусным программам

Червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com