7 stycznia 2002

I-Worm.GOPworm - zmodyfikowany koń trojański

Jest to robak internetowy rozprzestrzeniający się w postaci pliku załączonego do wiadomości e-mail oraz w sieci lokalnej kopiując się na udostępnione dyski. Szkodnik ma postać pliku PE EXE o rozmiarze około 60 KB i został napisany przy użyciu środowiska programistycznego Microsoft Visual C++. Robak jest poprawioną wersją konia trojańskigo "GOPtrojan".

Temat i treść zainfekowanych wiadomości napisane są w języku chińskim. Nazwa załączonego pliku może się różnić i może posiadać podwójne rozszerzenie:

  • filename.jpg.exe
  • filename.jpeg.exe
  • filename.gif.exe
  • filename.txt.exe
  • filename.doc.exe
  • filename.rtf.exe
  • filename.bmp.exe

W celu uruchomienia się z zainfekowanej wiadomości robak wykorzystuje dziurę w zabezpieczeniach zwaną IFrame.

Podczas instalacji robak wykorzystuje takie same mechanizmy jak koń trojański "GOPtrojan". Dodatkową cechą robaka jest tworzenie klucza rejestru systemowego:

HKCR\exefile\shell\open\command

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP. Szkodnik pobiera adresy ofiar skanując pliki HTML, HTM, JS i bazy pocztowe programów TheBat, Aerofox oraz RimArts.