Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь также рассылает себя через каналы IRC и заражает IIS сервер. Червь активно противодействует антивирусным программам.

Червь является приложением Windows (PE EXE-файл), имеет размер 14336 байт, написан на Visual Basic 6. Файл упакован утилитой UPX. После распаковки его размер около 53 Кб. Он содержит внутри себя строки текста:

W32.Karen by Gobo … happy birthday girl !!! shouts : W1z, Merl, NM, and whoever else.
#teamvirus on Undernet … say hello. bob is the king of bots 🙂

Зараженные письма содержат:

Заголовок, один из 15 вариантов:

If I were God and didn’t belive in myself would it be blasphemy
The A-Team VS KnightRider … who would win ?
Just one kiss, will make it better. just one kiss, and we will be alright.
I can’t help this longing, comfort me.
And I miss you most of all, my darling …
… When autumn leaves start to fall
It’s dark in here, you can feel it all around. The underground.
I will always be with you sometimes black sometimes white …
.. and there’s no need to be scared, you re always on my mind.
You just take a giant step, one step higher.
The air will hold you if you try, trust my wings of desire. Glory, Glorified…….
The horizons lean forward, offering us space to place new steps of change.
I like this calm, moments before the storm
Darling, when did you fall..when was it over ?
Will you meet me …. and we’ll fly away ?!

Имя файла-вложения формируется случайным образом. Расширения имени файла выбираются из списка:

.exe, .pif, .scr, .bat, .com

Примеры сгенерированных имен:

3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr

Текст сообщения выбирается из 4-ех вариантов:

Hey
They say love is blind … well, the attachment probably proves it. Pretty good either way though, isn’t it ?

You should like this, it could have been made for you speak to you later
Happy Birthday
Yeah ok, so it’s not yours it’s mine 🙂
still cause for a celebration though, check out the details I attached

This made me laugh
Got some more stuff to tell you later but I can’t stop right now so I’ll email you later or give you a ring if thats ok ?!
Speak to you later

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении).

Инсталляция

При инсталляции червь копирует себя в каталог Windows с именем KAREN.EXE с атрибутом скрытый и регистрирует этот файл в ключе автозапуска системного реестра:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe

Рассылка писем

При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook.

Рассылка через каналы IRC

Червь перезаписывает в каталоге C:MIRC файл SCRIPT.INI своим скриптом. Новый скрипт рассылает дропер вируса, файл KAREN.EXE пользователям, входящим в канал. Также он посылает сообщение:

If this doesn’t make you smile, nothing will.

Скрипт переименовывает пользователя на W32_Karen, W32Karen1, KarenWorm, KarenGobo если в к нему приходят строки текста: файл также содержит строки текста:

karen, worm, virus, sex

Игнорирует пользователя от которого приходит текст:

script, infected, dcc, script, infected

Подключается к каналу #teamvirus, если получает строку с буквой ‘e’.

Заражение IIS-сервера

Червь перезаписывает файл C:INETPUBWWWROOTDEFAULT.HTM своим кодом и копирует себя в каталог C:INETPUBWWWROOT под именем WEB.EXE. Новый DEFAULT.HTM содержит ссылку на файл WEB.EXE. HTM-файл содержит комментарий:

!– Gobo 04/12/01 —

В результате локальный IIS-сервер оказывается заражен червем.

Противодействие антивирусным программам

Червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:

VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe

Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь также рассылает себя через каналы IRC и заражает IIS сервер. Червь активно противодействует антивирусным программам. Червь является приложением Windows (PE EXE-файл), имеет размер 14336 байт, написан на Visual Basic 6. Файл упакован утилитой UPX. После распаковки его размер около 53 Кб. Он содержит внутри себя строки текста: W32.Karen by Gobo … happy birthday girl !!! shouts : W1z, Merl, NM, and whoever else. #teamvirus on Undernet … say hello. bob is the king of bots 🙂 Зараженные письма содержат: Заголовок, один из 15 вариантов: If I were God and didn’t belive in myself would it be blasphemy The A-Team VS KnightRider … who would win ? Just one kiss, will make it better. just one kiss, and we will be alright. I can’t help this longing, comfort me. And I miss you most of all, my darling … … When autumn leaves start to fall It’s dark in here, you can feel it all around. The underground. I will always be with you sometimes black sometimes white … .. and there’s no need to be scared, you re always on my mind. You just take a giant step, one step higher. The air will hold you if you try, trust my wings of desire. Glory, Glorified……. The horizons lean forward, offering us space to place new steps of change. I like this calm, moments before the storm Darling, when did you fall..when was it over ? Will you meet me …. and we’ll fly away ?! Имя файла-вложения формируется случайным образом. Расширения имени файла выбираются из списка: .exe, .pif, .scr, .bat, .com Примеры сгенерированных имен: 3tgf3tgf3tgf373774285313tgf.scr ffdasfffdasfffdasf145361008658ffdasf.com rewfdrewfdrewfd30741913208rewfd.scr Текст сообщения выбирается из 4-ех вариантов: Hey They say love is blind … well, the attachment probably proves it. Pretty good either way though, isn’t it ? You should like this, it could have been made for you speak to you later Happy Birthday Yeah ok, so it’s not yours it’s mine 🙂 still cause for a celebration though, check out the details I attached This made me laugh Got some more stuff to tell you later but I can’t stop right now so I’ll email you later or give you a ring if thats ok ?! Speak to you later Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Инсталляция При инсталляции червь копирует себя в каталог Windows с именем KAREN.EXE с атрибутом скрытый и регистрирует этот файл в ключе автозапуска системного реестра: HKLMSoftwareMicrosoftWindowsCurrentVersionRun Karen = karen.exe Рассылка писем При рассылке писем червь использует функции MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге Outlook. Рассылка через каналы IRC Червь перезаписывает в каталоге C:MIRC файл SCRIPT.INI своим скриптом. Новый скрипт рассылает дропер вируса, файл KAREN.EXE пользователям, входящим в канал. Также он посылает сообщение: If this doesn’t make you smile, nothing will. Скрипт переименовывает пользователя на W32_Karen, W32Karen1, KarenWorm, KarenGobo если в к нему приходят строки текста: файл также содержит строки текста: karen, worm, virus, sex Игнорирует пользователя от которого приходит текст: script, infected, dcc, script, infected Подключается к каналу #teamvirus, если получает строку с буквой ‘e’. Заражение IIS-сервера Червь перезаписывает файл C:INETPUBWWWROOTDEFAULT.HTM своим кодом и копирует себя в каталог C:INETPUBWWWROOT под именем WEB.EXE. Новый DEFAULT.HTM содержит ссылку на файл WEB.EXE. HTM-файл содержит комментарий: !– Gobo 04/12/01 — В результате локальный IIS-сервер оказывается заражен червем. Противодействие антивирусным программам Червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка: VSHWIN32.EXE PW32.EXE _avpm.exe avpm.exe ICLOAD95.EXE ICMON.EXE IOMon98.exe VetTray.exe Claw95.exe f-stopw.exe Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Gokar

Technical Details