Gokar

Gokar jest robakiem internetowym rozprzestrzeniającym się za pośrednictwem poczty elektronicznej, poprzez IRCa oraz odpowiednio zmodyfikowane strony WWW.

Gokar jest robakiem internetowym rozprzestrzeniającym się za pośrednictwem poczty elektronicznej, poprzez IRCa oraz odpowiednio zmodyfikowane strony WWW. "Insekt" najczęściej pojawia się w komputerze ofiary w postaci załącznika (o losowej nazwie, składającej się z ciągu liter i cyfr), do listu elektronicznego o następujących parametrach:

Temat: [jeden z poniższych]

If I were God and didn't belive in myself would it be blasphemy

The A-Team VS KnightRider ... who would win ?

Just one kiss, will make it better. just one kiss, and we will be alright.

I can't help this longing, comfort me.

And I miss you most of all, my darling ...

... When autumn leaves start to fall

It's dark in here, you can feel it all around.

The underground.

I will always be with you sometimes black sometimes white ...

.. and there's no need to be scared, you re always on my mind.

You just take a giant step, one step higher.

The air will hold you if you try, trust my wings of desire.

Glory, Glorified.......

Treść: [jedna z poniższych]

Happy Birthday

Yeah ok, so it's not yours it's mine :)

The horizons lean forward, offering us space to place new steps of change.

I like this calm, moments before the storm Darling, when did you fall..when was it over ?

Will you meet me .... and we'll fly away ?!

You should like this, it could have been made for you speak to you later

They say love is blind ... well, the attachment probably proves it.

Pretty good either way though, isn't it ?

still cause for a celebration though, check out the details I attached

This made me laugh

Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?!

Speak to you later

Załącznik: [losowa nazwa].[pif, scr, exe, com, bat]

Po uruchomieniu przez użytkownika pliku załącznika, robak rozsyła własne kopie za pomocą poczty elektronicznej do wszystkich adresatów odnalezionych w książce adresowej systemu Windows. Tworzy on również swoją kopię na dysku w pliku c:\windows\keren.exe oraz modyfikuje rejestr, tak, by była ona uruchamiana przy każdym starcie systemu Windows.

Zobacz również:

  • SonicWall wzywa do likwidowania trzech groźnych podatności “zero-day”

W kolejnym etapie swojego działania robak sprawdza, czy na dysku jest zainstalowany program do obsługi IRCa - mIRC - a następnie modyfikuje jego skrypt startowy (script.ini), tak, by kopia robaka była wysyłana do wszystkich uczestników kanału, na który wejdzie zainfekowany użytkownik.

Na koniec robak sprawdza czy na zainfekowanym komputerze zainstalowane jest oprogramowania serwera WWW IIS. Jeśli tak, to w domyślnym katalogu stron WWW umieszcza odpowiednio spreparowaną stronę default.htm. Wyświetlenie tej strony w przeglądarce powoduje wyświetlenia tekstu:

"We Are Forever"

oraz pytanie, czy pobrać kopię robaka w pliku Web.exe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200