Email-Worm.Win32.Goner

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez Internet w postaci zainfekowanego pliku za艂膮czonego do wiadomo艣ci e-mail, jak r贸wnie偶 poprzez internetowy komunikator ICQ. Robak atakuje koniem troja艅skim kana艂 IRC i ukrywa si臋 przed programami antywirusowymi.

Wirus zosta艂 napisany w j臋zyku programowania VisualBasic i ma posta膰 pliku PE EXE o rozmiarze oko艂o 38 KB.

Wysy艂ane przez robaka zainfekowane wiadomo艣ci wygl膮daj膮 nast臋puj膮co:

Temat: Hi Za艂膮czony plik: gone.scr

Tre艣膰:

How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik kliknie na za艂膮czniku. Nast臋pnie szkodnik instaluje si臋 w systemie, uruchamia procedur臋 rozprzestrzeniaj膮c膮 i funkcj臋 dodatkow膮. Robak wy艣wietla na ekranie animowane okno zawieraj膮ce nast臋puj膮cy tekst:

goner.gif

oraz informacj臋 o b艂臋dzie zawieraj膮c膮 tekst: Error While Analyze DirectX!

Instalacja

Podczas instalowania si臋 robak zapisuje swoj膮 kopi臋 (GONE.SCR) w systemowym katalogu Windows i tworzy dla niej klucz auto-run w rejestrze systemowym:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
C:WINDOWSSYSTEMGONE.SCR =
C:WINDOWSSYSTEMGONE.SCR

Nast臋pnie robak ukrywa swoje g艂贸wne okno i kontynuuje rozprzestrzenianie si臋.

Rozprzestrzenianie poprzez e-mail

Robak wysy艂a zainfekowane wiadomo艣ci do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej programu MS Outlook.

Rozprzestrzenianie poprzez ICQ

Robak mo偶e si臋 tak偶e rozprzestrzenia膰 przy u偶yciu klienta ICQ. W tym celu szkodnik kopiuje bibliotek臋 ICQMAPI.DLL z katalogu C:PROGRAM FILESICQ do systemowego folderu Windows. Robak wysy艂a swoj膮 kopi臋 do wszystkich u偶ytkownik贸w, kt贸rych status to "on-line".

Atakowanie kana艂贸w IRC

Szkodnik skanuje wszystkie katalogi lokalnych dysk贸w w poszukiwaniu pliku MIRC.INI. Je偶eli zostanie on odnaleziony wirus tworzy nowy plik REMOTE32.INI i dodaje go do MIRC.INI. Plik REMOTE32.INI jest skryptem, kt贸ry przy艂膮cza u偶ytkownika o losowej nazwie do kana艂u #pentagonex znajduj膮cego si臋 na serwerze twisted.ma.us.dal.net.

Ochrona przed programami antywirusowymi

Podczas instalowania si臋 w systemie robak skanuje uruchomione procesy i por贸wnuje ich nazwy z poni偶szymi:

FINET.EXE, APLICA32.EXE, ZONEALARM.EXE, ESAFE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET32.EXE, PCFWallIcon.EXE, FRW.EXE, VSHWIN32.EXE, VSECOMR.EXE, WEBSCANX.EXE, AVCONSOL.EXE, VSSTAT.EXE, NAVAPW32.EXE, NAVW32.EXE, _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, AVP32.EXE, AVPCC.EXE, AVPM.EXE, AVP.EXE, LOCKDOWN2000.EXE, ICLOAD95.EXE, ICMON.EXE, ICSUPP95.EXE, ICLOADNT.EXE, ICSUPPNT.EXE, TDS2-98.EXE, TDS2-NT.EXE, SAFEWEB.EXE, C:SAFEWEB

Je偶eli nazwa uruchomionego procesu znajduje si臋 na powy偶szej li艣cie robak zatrzymuje go i usuwa z dysku wszystkie jego pliki. Je偶eli pliki te s膮 zablokowane przez system operacyjny i nie mo偶na ich usun膮膰 wirus dodaje do pliku WININIT.INI komendy, kt贸re "zajmuj膮" si臋 nimi podczas kolejnego uruchamiania systemu operacyjnego.