13 grudnia 2001

I-Worm.Gokar - wysyła swoje kopie poprzez e-mail oraz IRC

Jest to robak internetowy rozprzestrzeniający się poprzez Internet w postaci zainfekowanego pliku załączonego do wiadomości e-mail. Robak wysyła swoje kopie także poprzez kanały IRC. Szkodnik ma postać aplikacji Windows PE EXE o rozmiarze około 14 KB i został napisany w języku programowania Visual Basic. Wirus atakuje również serwery IIS i chroni się przed programami antywirusowymi.

Temat wysyłanych przez robaka wiadomości jest wybierany spośród następujących możliwości:

  • If I were God and didn't belive in myself would it be blasphemy
  • The A-Team VS KnightRider ... who would win ?
  • Just one kiss, will make it better. just one kiss, and we will be alright.
  • I can't help this longing, comfort me.
  • And I miss you most of all, my darling ...
  • ... When autumn leaves start to fall
  • It's dark in here, you can feel it all around. The underground.
  • I will always be with you sometimes black sometimes white ...
  • .. and there's no need to be scared, you re always on my mind.
  • You just take a giant step, one step higher.
  • The air will hold you if you try, trust my wings of desire. Glory,
  • Glorified.......
  • The horizons lean forward, offering us space to place new steps of change.
  • I like this calm, moments before the storm
  • Darling, when did you fall..when was it over ?
  • Will you meet me .... and we'll fly away ?!

Nazwa załąnonego pliku jest losowa i posiada jedno z następujących rozszerzeń: .SCR .COM .EXE .BAT .PIF. Przykładowo:

  • 3tgf3tgf3tgf373774285313tgf.scr
  • ffdasfffdasfffdasf145361008658ffdasf.com
  • rewfdrewfdrewfd30741913208rewfd.scr

Treść wiadomości wybierana jest spośród czterech możliwości:

  • Hey
    They say love is blind ... well, the attachment probably proves it.
    Pretty good either way though, isn't it ?

  • You should like this, it could have been made for you speak to you later

  • Happy Birthday
    Yeah ok, so it's not yours it's mine :)
    still cause for a celebration though, check out the details I attached

  • This made me laugh
    Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?!
    Speak to you later

Instalacja

Robak kopiuje się do katalogu systemowego Windows z nazwą KAREN.EXE i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen = \karen.exe

Rozprzestrzenianie poprzez e-mail

Wirus wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresoewej programu MS Outlook.

Rozprzestrzenianie poprzez kanały IRC

Robak nadpisuje plik C:\MIRC\SCRIPT.INI skryptem, który wysyła zarażony plik EXE wszystkim użytkownikom przyłączającym się do zainfekowanego kanału.

Infekowanie serwerów IIS

Robak nadpisuje własnym kodem plik C:\INETPUB\WWWROOT\DEFAULT.HTM i kopiuje się do katalogu C:\INETPUB\WWWROOT z nazwą WEB.EXE. Nowy plik DEFAULT.HTM zawiera łącze do pliku WEB.EXE.

Ochrona przed programami antywirusowymi

Podczas instalacji robak zatrzymuje działanie procesów, których nazwy znajdują się na poniższej liście:

  • VSHWIN32.EXE
  • PW32.EXE
  • _avpm.exe
  • avpm.exe
  • ICLOAD95.EXE
  • ICMON.EXE
  • IOMon98.exe
  • VetTray.exe
  • Claw95.exe
  • f-stopw.exe