I-Worm.Gokar - wysyła swoje kopie poprzez e-mail oraz IRC
Temat wysyłanych przez robaka wiadomości jest wybierany spośród następujących możliwości:
- If I were God and didn't belive in myself would it be blasphemy
- The A-Team VS KnightRider ... who would win ?
- Just one kiss, will make it better. just one kiss, and we will be alright.
- I can't help this longing, comfort me.
- And I miss you most of all, my darling ...
- ... When autumn leaves start to fall
- It's dark in here, you can feel it all around. The underground.
- I will always be with you sometimes black sometimes white ...
- .. and there's no need to be scared, you re always on my mind.
- You just take a giant step, one step higher.
- The air will hold you if you try, trust my wings of desire. Glory,
- Glorified.......
- The horizons lean forward, offering us space to place new steps of change.
- I like this calm, moments before the storm
- Darling, when did you fall..when was it over ?
- Will you meet me .... and we'll fly away ?!
Nazwa załąnonego pliku jest losowa i posiada jedno z następujących rozszerzeń: .SCR .COM .EXE .BAT .PIF. Przykładowo:
- 3tgf3tgf3tgf373774285313tgf.scr
- ffdasfffdasfffdasf145361008658ffdasf.com
- rewfdrewfdrewfd30741913208rewfd.scr
Treść wiadomości wybierana jest spośród czterech możliwości:
- Hey
They say love is blind ... well, the attachment probably proves it.
Pretty good either way though, isn't it ? - You should like this, it could have been made for you speak to you later
- Happy Birthday
Yeah ok, so it's not yours it's mine :)
still cause for a celebration though, check out the details I attached - This made me laugh
Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?!
Speak to you later
Instalacja
Robak kopiuje się do katalogu systemowego Windows z nazwą KAREN.EXE i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen =
Rozprzestrzenianie poprzez e-mail
Wirus wysyła zainfekowane wiadomości do wszystkich użytkowników zapisanych w książce adresoewej programu MS Outlook.
Rozprzestrzenianie poprzez kanały IRC
Robak nadpisuje plik C:\MIRC\SCRIPT.INI skryptem, który wysyła zarażony plik EXE wszystkim użytkownikom przyłączającym się do zainfekowanego kanału.
Infekowanie serwerów IIS
Robak nadpisuje własnym kodem plik C:\INETPUB\WWWROOT\DEFAULT.HTM i kopiuje się do katalogu C:\INETPUB\WWWROOT z nazwą WEB.EXE. Nowy plik DEFAULT.HTM zawiera łącze do pliku WEB.EXE.
Ochrona przed programami antywirusowymi
Podczas instalacji robak zatrzymuje działanie procesów, których nazwy znajdują się na poniższej liście:
- VSHWIN32.EXE
- PW32.EXE
- _avpm.exe
- avpm.exe
- ICLOAD95.EXE
- ICMON.EXE
- IOMon98.exe
- VetTray.exe
- Claw95.exe
- f-stopw.exe