|
|||
I-Worm/GokarWin32:Gokar je worm, který se šíří pomocí elektronické pošty, IRC nebo přes natažení modifikované HTML stránky z nakaženého počítače, na kterém běží MS IIS Web Server. Tak jako řada jiných, tento worm je napsán v jazyce Visual Basic a zabalen programem. Je dlouhý 14336 slabik. Worm se šíří pomocí zpráv, které mohou mít následující vlastnosti:Předmět zprávy (jedna z následujících možností):
Tělo zprávy (jedna z následujících možností):
Soubor, připojený ke zprávě, má zcela náhodné jméno a jednu z následujících
přípon:
Po spuštění se worm zkopíruje do adresáře Windows pod jménem KAREN.EXE
a vytvoří položku v Registry, která zajistí jeho spuštění při startu
počítače:
Pak se pokusí poslat sebe sama na všechny adresy, nalezené v adreářích programu Outlook. Worm vytvoří navíc skript pro program mIRC se jménem script.ini. Tak je schopen poslat sebe sama dalším uživatelům, kteří se připojí na stejný kanál IRC jako infikovaný uživatel. Worm je též schopen měnit aliasy uživatelů IRC, a to v závislosti na slovech použitých při diskusi. Pokud je na infikovaném počítači provozován MS IIS Web Server, worm se pokusí o šíření i na počítače uživatelů, kteří takový web navštíví. Zkopíruje sebe sama do souboru C:\INETPUB\WWWROOT\WEB.EXE a vytvoří soubor DEFAULT.HTM ve stejném adresáři. Pokud uživatel přistoupí na tuto stránku, prohlížeč jej vyzva, aby uložil či spustil program web.exe. Odstranění:
Zdroj: Alwil software - výrobce antiviru AVAST |
|||
|