"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового Интернет-червя I-Worm.Gokar. На данный момент уже получено несколько сообщений о случаях заражения данной вредоносной программой. Червь распространяется по электронной почте и...
"Лаборатория Касперского", ведущий российский разработчик систем информационной безопасности, сообщает об обнаружении нового Интернет-червя I-Worm.Gokar. На данный момент уже получено несколько сообщений о случаях заражения данной вредоносной программой.
Червь распространяется по электронной почте, IRC-каналам (Internet Relay Chat) и модифицирует стартовые страницы Web-серверов под управлением программы Internet Information Server (IIS).
"Gokar" представляет собой файл формата .EXE размером около 15 килобайт. После его запуска червь копирует себя в каталог Windows под именем KAREN.EXE и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen = \karen.exe
Таким образом, "Gokar" автоматически запускается при каждой перезагрузке зараженного компьютера.
После этого начинается процесс распространения по электронной почте. Для этого червь получает доступ к адресной книге почтовой программы Microsoft Outlook и посылает свои копии по всем содержащимся в ней адресам.
Зараженные письма не имеют постоянных внешних признаков, что затрудняет их идентификацию без использования антивирусной программы.
Строка "Тема" (Subj) случайным образом выбирается из следующих 15 вариантов:
- If I were God and didn't belive in myself would it be blasphemy
- The A-Team VS KnightRider ... who would win ?
- Just one kiss, will make it better. just one kiss, and we will be alright.
- I can't help this longing, comfort me.
- And I miss you most of all, my darling ...
- ... When autumn leaves start to fall
- It's dark in here, you can feel it all around. The underground.
- I will always be with you sometimes black sometimes white ...
- .. and there's no need to be scared, you re always on my mind.
- You just take a giant step, one step higher.
- The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
- The horizons lean forward, offering us space to place new steps of change.
- I like this calm, moments before the storm
- Darling, when did you fall..when was it over ?
- Will you meet me .... and we'll fly away ?!
Тело письма также случайным образом выбирается из следующих 4 вариантов:
Hey
They say love is blind ... well, the attachment probably proves it.
Pretty good either way though, isn't it ?You should like this, it could have been made for you
speak to you laterHappy Birthday
Yeah ok, so it's not yours it's mine :)
still cause for a celebration though, check out the details I attachedThis made me laugh
Got some more stuff to tell you later but I can't stop right now
so I'll email you later or give you a ring if thats ok ?!
Speak to you later
Вложенные файлы-носители червя (размером около 15 килобайт) могут иметь расширения .SCR, . COM, .EXE, .BAT, .PIF и носят случайные имена, например:
3tgf3tgf3tgf373774285313tgf.scr
ffdasfffdasfffdasf145361008658ffdasf.com
rewfdrewfdrewfd30741913208rewfd.scr
Для рассылки по IRC-каналам "Gokar" модифицирует служебные файлы программы для работы с IRC. Таким образом, все пользователи, подключенные к тому же IRC-каналу, что и зараженный компьютер получают копию червя (файл KAREN.EXE).
Если "Gokar" удалось заразить компьютер на котором находится Web-сервер, то червь несанкционированно модифицирует его стартовую страницу. В результате, посетители Web-сайта вместо его оригинального содержимого получают предложение загрузить файл WEB.EXE, который содержит копию "Gokar"
Для дополнительной защиты червь выполняет сканирование оперативной памяти и пытается закрыть некоторые антивирусные программы.
Более подробную информацию о данной вредоносной программе можно получить здесь.
Процедуры защиты от Интернет-червя "Gokar" уже добавлены в очередное обновление базы данных Антивируса Касперского.
