W32.Gokar

Der Gokar-Wurm "erfreute" sich Mitte Dezember einer mittleren Verbreitung und versucht, sich der Erkennung durch Antivirenprogramme zu entziehen, indem er deren Prozesse beendet.

Der Wurm selber ist eine Windows EXE-Datei, die in der Programmiersprache Visual Basic geschrieben wurde. Der Betreff infizierter Mails kann gemäss dem Kaspersky Virenlabor [1] wie folgt aussehen:

"If I were God and didn't belive in myself would it be blasphemy"

"The A-Team VS KnightRider ... who would win ?"

"Just one kiss, will make it better. just one kiss, and we will be alright."

"I can't help this longing, comfort me."

"And I miss you most of all, my darling ..."

"... When autumn leaves start to fall"

"It's dark in here, you can feel it all around. The underground."

"I will always be with you sometimes black sometimes white ..."

".. and there's no need to be scared, you re always on my mind."

"You just take a giant step, one step higher."

"The air will hold you if you try, trust my wings of desire. Glory, Glorified......."

"The horizons lean forward, offering us space to place new steps of change."

"I like this calm, moments before the storm Darling, when did you fall..when was it over ?"

"Will you meet me .... and we'll fly away ?!"

Der Name der angehängten bösartigen Datei besteht aus einer langen Reihe zufällig gewähler Zeichen und kann eine dieser Endungen haben:

.exe

.pif

.scr

.bat

.com

Der Mailtext ist in mehreren verschiedenen Varianten bekannt. Ein paar Beispiele, gemäss Symantec [2]:

Happy Birthday

Yeah ok, so it's not yours it's mine :)

The horizons lean forward, offering us space to place new steps of change.

I like this calm, moments before the storm

Darling, when did you fall..when was it over ?

Will you meet me .... and we'll fly away ?!

You should like this, it could have been made for you

speak to you later

They say love is blind ... well, the attachment probably proves it.

Pretty good either way though, isn't it ?

still cause for a celebration though, check out the details I attached

This made me laugh

Got some more stuff to tell you later but I can't stop right now

so I'll email you later or give you a ring if thats ok ?!

Speak to you later

Sobald der Wurm ausgeführt wird, kopiert er sich unter dem Namen KAREN.EXE in den Windows System-Ordner (z.B. C:\Windows\System) und trägt diese Datei in diesen Registry-Schlüssel ein:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run

Mit dem Namen: Karen = \karen.exe

Für die Verbreitung nutzt der Wurm Microsoft Outlook und verschickt sich mit den oben erwähnten Eigenschaften an alle Einträge des Adressbuchs und stellt auch den Namen des infizierten Benutzers ans Ende der Mail.

Der Wurm pflanzt sich auch über IRC-Kanäle fort, indem er die allenfalls vorhandene Datei C:\MIRC\SCRIPT.INI mit einem eigenen Script überschreibt. Dieses sendet eine infizierte EXE-Datei an jeden Benutzer, der den Kanal des infizierten Benutzers kreuzt. Zusätzlich schickt er diese Mitteilung: "If this doesn't make you smile, nothing will." Und ändert den Alias-Namen des Benutzers.

Das Wurm-Script ignoriert angeblich IRC-Benutzer, die einen der folgenden Texte senden: script, infected, dcc, script, infected. Ferner verbindet sich der Wurm mit dem Kanal #teamvirus, sobald er einen Text erhält, der den Buchstaben E enthält.

Falls vorhanden, infiziert er einen Internet Information Server (Microsoft IIS) wie folgt:

Er benennt die Datei C:\INETPUB\WWWROOT\DEFAULT.HTM in REDESI.HTM um und erstellt eine eigene Datei namens DEFAULT.HTM, die einen Link zu WEB.EXE enthält, die er im selben Ordner kreiert. Wer danach auf die Webseiten eines so infizierten Server surft, wird die Aufforderung erhalten, die infizierte Datei namens WEB.EXE herunterzuladen - was man natürlich vermeiden sollte.

Während sich der Wurm auf einem Computer niederlässt, sucht er nach den untenstehenden Prozessen, die normalerweise zu Antiviren-Software gehören und versucht diese zu beenden:

VSHWIN32.EXE

PW32.EXE

_avpm.exe

avpm.exe

ICLOAD95.EXE

ICMON.EXE

IOMon98.exe

VetTray.exe

Claw95.exe

f-stopw.exe

Frisch aktualisierte Virenscanner sollten den W32.Gokar-Wurm schon beim Eintreffen erkennen. Führen Sie aber trotzdem keine Beilagen aus, die Sie nicht explizit erwartet haben. Um den Wurm zu entfernen, scannen Sie Ihr System und eliminieren Sie alle Dateien, die Ihr Virenscanner als infiziert meldet. Entfernen Sie auch den Registry-Eintrag, den der Wurm erstellt hat. Falls auf einem infizierten PC ein Internet Information Server von Microsoft läuft, suchen Sie nach einer Datei namens REDESI.HTM. Diese Datei müssen Sie nach dem Löschen der vom Wurm erstellten DEFAULT.HTM wieder in DEFAULT.HTM umbenennen.

Informationen über den Wurm finden Sie beispielsweise auch bei Network Associates [3] oder bei F-Secure (mit Screenshots) [4].