Újabb windowsos vírus ütötte fel fejét

A Gokar a Microsoft Outlook segítségével továbbítja magát, és akkor fertőzi meg a gépet, amikor a felhasználó megnyitja a kártékony töltetet tartalmazó levélmellékletet.

A fertőzött levél tárgyát egy meglehetősen hosszú listából választja ki véletlenszerűen, akárcsak a levél szövegét és a csatolt állomány nevét. (A csatolt állománynak .PIF, .SCR, .COM, .EXE vagy .BAT kiterjesztése lehet.) A féreg Visual Basic nyelven készült és az UPX programmal tömörítették.

A fertőzés elég könnyen diagnosztizálható, ha ugyanis a Windows könyvtárban megtalálható egy KAREN.EXE nevű állomány, a számítógépet minden bizonnyal megfertőzte a Gokar. (Ez egy rejtett attribútumú file, amely minden indításkor lefut.)

Ha a megfertőzött gép egy Microsoft IIS-t futtató webszerver, akkor a féreg módosítani fogja a rajta hostolt website kezdőlapját úgy, hogy az letöltésre kínál fel egy WEB.EXE állományt minden látogatónak. Ha Outlook levelező is van telepítve a számítógépre, akkor a Gokar az annak címlistájában lévő összes címre továbbítja magát.

A Gokar a mIRC chatkliens beállításait is módosítja, hogy a továbbiakban az IRC-n keresztül is tudjon terjedni. Lecseréli a mIRC chatkliens eredeti SCRIPT.INI állományát a sajátjára. Ez az új script engedélyezi számára a KAREN.EXE file elküldését minden, IRC csatornabeli partnernek.

Tanácsok a Gokar eltávolításához:

1. Töltsük le és futtassuk az alábbi REG állományt:
ftp://ftp.europe.f-secure.com/anti-virus/tools/gokardis.reg

2. Ezután indítsuk újra a számítógépet és a lehető legfrissebb vírusmintákat tartalmazó víruskeresővel vizsgájuk át az összes merevlemezt. Ha a kereső a Windows könyvtárban szereplő KAREN.EXE állományt jelzi, nyugodtan hagyjuk jóvá annak törlését.

3. Ha a Gokar féreg webszervert fertőzött meg, akkor törölni kell a WEB.EXE állományt a C:inetpubwwwroot könyvtárból és vissza kell nevezni a REDESI.HTM állományt DEFAULT.HTM-re.