Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Gokar

Win32:Gokar je worm, který se šíří pomocí elektronické pošty, IRC nebo přes natažení modifikované HTML stránky z nakaženého počítače, na kterém běží MS IIS Web Server. Tak jako řada jiných, tento worm je napsán v jazyce Visual Basic a zabalen programem. Je dlouhý 14336 slabik. Worm se šíří pomocí zpráv, které mohou mít následující vlastnosti:

Předmět zprávy (jedna z následujících možností):
The A-Team VS KnightRider ... who would win ?
And I miss you most of all, my darling ...
The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
If I were God and didn't belive in myself would it be blasphemy
Just one kiss, will make it better. Just one kiss, and we will be alright.
I can't help this longing, comfort me.
It's dark in here, you can feel it all around. The underground.
.. and there's no need to be scared,you re always on my mind.
You just take a giant step, one step higher.
The horizons lean forward, offering us space to place new steps of change.
I like this calm, moments before the storm
Darling, when did you fall..when was it over?

Tělo zprávy (jedna z následujících možností):
Yeah ok, so it's not yours it's mine :)
You should like this, it could have been made for you
speak to you later
Pretty good either way though, isn't it?
Happy Birthday
still cause for a celebration though, check out the details I attached
This made me laugh
Got some more stuff to tell you later but I can't stop right now
so I'll email you later or give you a ring if that's ok ?!
Speak to you later

Soubor, připojený ke zprávě, má zcela náhodné jméno a jednu z následujících přípon:
.BAT, .COM, .EXE, .PIF, .SCR

Po spuštění se worm zkopíruje do adresáře Windows pod jménem KAREN.EXE a vytvoří položku v Registry,  která zajistí jeho spuštění při startu počítače:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Karen="C:\WINDOWS\karen.exe"

Pak se pokusí poslat sebe sama na všechny adresy, nalezené v adreářích programu Outlook.

Worm vytvoří navíc skript pro program mIRC se jménem script.ini. Tak je schopen poslat sebe sama dalším uživatelům, kteří se připojí na stejný kanál IRC jako infikovaný uživatel. Worm je též schopen měnit aliasy uživatelů IRC, a to v závislosti na slovech použitých při diskusi.

Pokud je na infikovaném počítači provozován MS IIS Web Server, worm se pokusí o šíření i na počítače uživatelů, kteří takový web navštíví. Zkopíruje sebe sama do souboru C:\INETPUB\WWWROOT\WEB.EXE a vytvoří soubor DEFAULT.HTM ve stejném adresáři. Pokud uživatel přistoupí na tuto stránku, prohlížeč jej vyzva, aby uložil či spustil program web.exe.

Odstranění:

  • smažte všechny nalezené infikované soubory
  • odstraňte všechny položky z registry, které na tyto soubory ukazovaly
  • pokud na infikovaném počítači provozujete MS-IIS Web Server, odstraňte také soubory default.htm a web.exe

Zdroj: Alwil software - výrobce antiviru AVAST


Zpět