Email-Worm.Win32.Goner

Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам а также через интернет пейджер ICQ. Производит атаку на канал IRC при помощи троянского скрипта.

Червь является приложением Windows (PE EXE-файл), имеет размер около 38K, написан на Visual Basic. Файл упакован утилитой UPX. После распаковки его размер около 148 Кб.

Зараженные письма содержат:

Заголовок:Hi
Имя вложения: gone.scr
Текст:

How are you ?
When I saw this screen saver, I immediately thought about you

I am in a harry, I promise you will love it!

Червь активизируется только если пользователь сам запускает зараженные файл при двойном щелчке на вложении). Затем червь инсталлирует себя в систему,рассылает зараженные письма и выводит сообщения:


pentagone
coded by: suid
tested by: ThE_SKuLL and satan
greetings to: TraceWar,k9-unit, stef16,^Reno.
greetings also to nonick2 out
there where ever you are

После чего червь выводит диалоговое окно с сообщением:

Инсталляция

При инсталляции червь копирует себя в системный каталог Windows с именем GONE.SCR и регистрирует этот файл в ключе авто-запуска системного реестра:


HKLMSoftwareMicrosoftWindowsCurrentVersionRun
C:WINDOWSSYSTEMGONE.SCR = C:WINDOWSSYSTEMGONE.SCR

После чего червь продолжает находиться в оперативной памяти компьютера и выполняет свое распространение.

Противодействие антивирусным программам

После инсталляции в систему червь выполняет сканирование процессов в оперативной памяти. Для этого он проверяет имена запущенных процессов из списка:


FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C:SAFEWEB

Для каждого процесса червь выполняет его закрытие при помощи функции TerminateProcess. Затем он удаляет все файлы в каталоге и подкаталогах найденного процесса. После удаления файлов червь ищет оставшиеся файлы и настраивает их удаление при перезагрузке компьютера. Для этого он,
записывает соответствующие команды в файл WININIT.INI.

Рассылка писем

При рассылке писем червь использует функции MS Outlook и расылает себя по всем адресам, обнаруженным в адресной книге Outlook.


Рассылка через интернет пейджер ICQ

Червь рассылает себя через интернет пейджер ICQ. Для этого он использует функции из библиотечного файла ICQMAPI.DLL. Перед вызовом функций из этой библиотеки, червь копирует ее в системный каталог Windows. Для всех пользователей из контактного листа клиента ICQ червь периодически выполняет вызов функции SendFile ( пересылка файлы пользователю ICQ в он-лайн). При отсылка себя червь самостоятельно отвечает на запросы программы. Для этого он отвечает на сообщения диалогов с заголовками:


Send Online File
Send Online File Request

Червь постоянно сканирует имена вновь появившихся окон и закрывает окна с заголовками:


User has declined your request
Can’t Send File Request

Send    Online File [User       Is in N/A mode]
Send    Online File [User       Is Away]
Send    Online File [User       Is Occupied]
Send    Online File [User       Is in DND mode]
User    has declined your       request
Can't Send File Request
Send Online File Request [User Is in N/A mode]
Send Online File Request [User Is Away]
Send Online File Request [User Is Occupied]
Send Online File Request [User Is in DND mode]


Атака на IRC канал

Червь сканирует в каталогах доступных дисков файл MIRC.INI. Он создает в том же каталоге файл REMOTE32.INI, вызов которого добавляет в MIRC.INI. Этот скрипт подключает пользователя со случайным именем к каналу #pentagonex через сервер twisted.ma.us.dal.net.