Email-Worm.Win32.Goner

Teknik detaylar

Bu, Internet üzerinden virüslü e-postalara iliştirilmiş bir virüs solucanıdır ve kendisini internet çağrı cihazı ICQ aracılığıyla gönderir. Bir IRC kanalına saldırır, bir Trojan betiğini kullanır ve kendini anti-virüs programlarından korur.

Solucanın kendisi yaklaşık 38 KB uzunluğunda ve Visual Basic'te yazılmış bir Windows PE EXE dosyasıdır. UPX programı tarafından paketlenmiştir. Paketini açtıktan sonra, boyutu 148 KB'dir.

Enfekte bir mesaj şunları içerir:

Solucan, bir kullanıcı ekli bir dosyayı tıkladığında, virüslü bir e-postadan etkinleştirir. Daha sonra kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır. Aşağıdaki metin ile animasyonlu pencereler görüntüler:

Ardından aşağıdaki mesaj diyaloğunu görüntüler:

Kurulum

Yüklerken, solucan GONE.SCR adıyla Windows sistem dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder.

HKLMSoftwareMicrosoftWindowsCurrentVersionRun C: WINDOWSSYSTEMGONE.SCR = C: WINDOWSSYSTEMGONE.SCR

Bunu takiben solucan ana penceresini gizler ve yayılmaya devam eder.

E-posta ile yayılıyor

Virüs bulaşmış mesajlar göndermek için, solucan MS Outlook'u kullanır ve Outlook adres defterinde bulunan tüm adreslere mesajlar gönderir.

{Goner3.bmp}

ICQ ile yayılıyor

Solucan ICQ istemcisi üzerinden yayılır. Solucanın C: PROGRAM FILESICQ dizini Windows sistem dizinine kopyaladığı ICQMAPI.DLL kütüphanesini kullanır. İstemci programına karşılık verir ve listeden diyalog pencerelerini arar ve istekleri cevaplar. Pencere listeleri aşağıdaki gibidir:

Çevrimiçi Dosya Gönder
Çevrimiçi Dosya İsteğini Gönder

Solucan periyodik olarak pencereleri arar ve kapatır. Pencerelerin başlıkları şöyledir:

Kullanıcı isteğinizi reddetti
Dosya İsteği Gönderilemiyor
Çevrimiçi Dosya Gönder [Kullanıcı N / A modunda]
Çevrimiçi Dosya Gönder [Kullanıcı Yayında]
Çevrimiçi Dosya Gönder [Kullanıcı Tükendi]
Çevrimiçi Dosya Gönder [Kullanıcı DND modunda]
Kullanıcı isteğinizi reddetti
Dosya İsteği Gönderilemiyor
Çevrimiçi Dosya İsteği Gönder [Kullanıcı N / A modunda]
Çevrimiçi Dosya İsteğini Gönder [Kullanıcı Yayında]
Çevrimiçi Dosya İsteği Gönder [Kullanıcı Tükendi]
Çevrimiçi Dosya İsteğini Gönder [Kullanıcı DND modunda]

Bir IRC kanalına saldırmak

Solucan, MIRC.INI dosyası için yerel disk dizinlerini tarar ve bu dizinde REMOTE32.INI adlı yeni bir dosya oluşturur ve MIRC.INI dosyasına ekler. Bu betik periyodik olarak rasgele bir isimle bir kullanıcıyı twisted.ma.us.dal.net sunucusundaki #pentagonex IRC kanalına katmaktadır.

Anti-Virüs Programlarından Koruma

Bilgisayar sisteminde yükleme yaparken, solucan, çalışan işlemleri aşağıdaki adresten kontrol ederek çalışan işlemleri tarar:

FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
avp.exe
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C: SafeWeb

Solucan bu işlemi bellekte sonlandırır ve dosyayı diskten siler. Sonra, alt dizinlerdeki dosyalar ile süreç dizinindeki tüm dosyaları siler. Solucan kalan dosyaları arar ve bilgisayarı yeniden başlattıktan sonra kaldırılmasını ayarlar. WININIT.INI dosyasına silme komutları ekler.