Szerző: Bodnár Ádám

2001. december 14. 11:23

Megjelent a Gokar (W32/Gokar@mm) vírus

A Gokar egyfajta ötvözete az email, az IRC és az IIS webférgeknek.

A Gokar egyfajta ötvözete az email, az IRC és az IIS webférgeknek. Először 2001. december 13-án észlelték. A féreg Visual Basic nyelven készült és az UPX program segítségével lett összetömörítve.

A Gokar a Microsoft Outlook segítségével küldi tovább magát. A levél tárgyát egy meglehetősen hosszú listából választja ki véletlenszerűen, akárcsak a levél szövegét és a csatolt állomány nevét. A csatolt állománynak .PIF, .SCR, .COM, .EXE vagy .BAT kiterjesztése lehet.

A fertőzést ránézésre is egyszerűen megállapíthatjuk, ezt elárulja a KAREN.EXE állomány jelenléte a Windows könyvtárban. Ha a megfertőzött gép egy webszerver, akkor a féreg módosítani fogja a Microsoft IIS kezdőlapját, hogy az ajánlja fel a WEB.EXE állományt letöltésre a weboldal minden látogatójának.

A Gokar a mIRC chat kliens beállításait is módosítja, hogy a továbbiakban az IRC-n keresztül is tudjon terjedni.

A féreg akkor fertőzi meg a gépet, amikor a felhasználó megnyit egy fertőzött levélmellékletet. Bemásolja magát a Windows könyvtárba KAREN.EXE néven, rejtett file attribútum bejegyzéssel, ezen kívül úgy módosítja a Registryt, hogy ez a file minden Windows indításkor fusson le. Ezek után a féreg megnyitja az Outlook címjegyzék listáját és az abban szereplő összes címre elküldi magát email üzenetben.

A féreg IRC-n keresztül is terjed. Lecseréli a mIRC chat kliens eredeti SCRIPT.INI állományát a sajátjára. Ez az új script engedélyezi a féreg számára a KAREN.EXE file elküldését minden IRC csatornabeli partnernek.

A féreg weblapon keresztül is terjed. Megvizsgálja, hogy a fertőzött gépen van-e telepített IIS webszerver, és ha igen, akkor a féreg WEB.EXE néven bemásolja magát a főkönyvárba. Ezenkívül átnevezi a DEFAULT.HTM állományt REDESI.HTM-re (a Redesi egy másik vírus neve) és elkészít egy saját DEFAULT.HTM lapot.

Ha egy weblap látogató megnyitja ezt a bizonyos lapot, akkor az megkérdezi, hogy letöltse-e a WEB.EXE állományt. Ha ekkor a felhasználó elfogadja a 'Run this file from current location' opciót, a féreg azonnal letöltődik és aktiválódik az illető gépén.

A Gokar vírus eltávolításához az alábbiakat kell tenni:

  • Töltsük le és futtassuk az alábbi REG állományt: ftp://ftp.europe.f-secure.com/anti-virus/tools/gokardis.reg
  • Indítsuk újra a számítógépet és víruskeresővel vizsgájuk át az összes merevlemezt. Ha a kereső a Windows könyvtárban szereplő KAREN.EXE állományt jelzi, nyugodtan hagyjuk jóvá annak törlését.
  • Ha a Gokar féreg webszervert fertőzött meg, akkor törölni kell a WEB.EXE állományt a C:inetpubwwwroot könyvtárból és vissza kell nevezni a REDESI.HTM állományt DEFAULT.HTM-re.

Az F-Secure és Kaspersky Anti-Virus programok a 2001. december 13-i adatállományokkal már felismerik a Gokar vírust.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról