Abo
  • Services:
Anzeige

Neuer Internet-Wurm "Gokar" befällt auch Webserver

Erneute Gefährdung durch Outlook-Nutzer mit infizierten Rechnern zu befürchten?

Hersteller von Antivirus-Software warnen vor einem neuen Internet-Wurm namens Gokar. Der Schädling ist eine EXE-Datei mit einer Größe von etwa 15 KByte und soll sich über E-Mails und IRC-Kanäle verbreiten. Außerdem soll er die Startseiten von infizierten Web-Servern verändern, die Microsofts Internet Information Server (IIS) nutzen.

Anzeige

Um einen Computer via E-Mail zu infizieren, verschafft sich "Gokar" - wie so viele seiner Artgenossen - Zugriff auf das Microsoft-Outlook-Adressbuch und verschickt seine Kopien an alle dort gefundenen Adressen.

Die verseuchten E-Mails besitzen jedoch keine konstanten Merkmale, was deren Erkennung ohne dafür sensibilisierte Antiviren-Software wesentlich erschwert. Der Betrefftext von mit Gokar verseuchter E-Mail soll aus folgenden Varianten zufällig gewählt werden:

  • If I were God and didn't belive in myself would it be blasphemy
  • The A-Team VS KnightRider ... who would win ?
  • Just one kiss, will make it better. just one kiss, and we will be alright.
  • I can't help this longing, comfort me.
  • And I miss you most of all, my darling ...
  • ... When autumn leaves start to fall
  • It's dark in here, you can feel it all around. The underground.
  • I will always be with you sometimes black sometimes white ...
  • .. and there's no need to be scared, you re always on my mind.
  • You just take a giant step, one step higher.
  • The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
  • The horizons lean forward, offering us space to place new steps of change.
  • I like this calm, moments before the storm
  • Darling, when did you fall..when was it over ?
  • Will you meet me .... and we'll fly away ?!
Auch der Body wird zufällig aus nachfolgenden Variationen gewählt:
  • Hey They say love is blind ... well, the attachment probably proves it.
    Pretty good either way though, isn't it ?
    You should like this, it could have been made for you
    speak to you later
  • Happy Birthday
    Yeah ok, so it's not yours it's mine :)
    still cause for a celebration though, check out the details I attached
  • This made me laugh
    Got some more stuff to tell you later but I can't stop right now
    so I'll email you later or give you a ring if thats ok ?!
    Speak to you later
Die an die verseuchte E-Mail angehängten Wurm-Trägerdateien haben eine Größe von etwa 15 KByte und können Endungen wie .SCR, .COM, .EXE, .BAT oder .PIF haben. Auch sie tragen willkürlich ausgewählte Namen wie beispielsweise:
  • 3tgf3tgf3tgf373774285313tgf.scr
  • ffdasfffdasfffdasf145361008658ffdasf.com
  • rewfdrewfdrewfd30741913208rewfd.scr
Nach dem Starten der Datei soll sich der Wurm als KAREN.EXE ins Windows-Verzeichnis kopieren und diese Datei im Autostart-Bereich der System-Registry eintragen. So werde es Gokar möglich, sich automatisch bei jedem Neustart des infizierten Rechners aufzurufen. Danach beginne der Wurm seine Verbreitungs-Routine aufzurufen und sende sich an alle im Microsoft-Outlook-Adressbuch gefundenen Adressen.

Um sich via IRC-Kanäle zu versenden, soll Gokar außerdem die Dateien von IRC-Programmen modifizieren. So würden alle Benutzer von IRC-Kanälen, zu denen auch der infizierte Rechner Zugriff hat, die Wurmkopie in Form der KAREN.EXE-Datei erhalten.

Falls Gokar einen Windows-Webserver mit installiertem Internet Information Server verseucht, ändert der Wurm unautorisiert dessen Startseite. Besucher der Website erhalten daraufhin nicht mehr die ursprüngliche Webseite, sondern bekommen die WEB.EXE-Datei zum Download angeboten, die natürlich eine Gokar-Kopie darstellt.

Um sich zusätzlich zu schützen, scannt der Wurm den Arbeitsspeicher und versucht, falls vorhanden, die Antiviren-Programme zu schließen.

Viele Hersteller von Anti-Virensoftware dürften bereits ihre Software angepasst haben oder dies in den nächsten Tagen nachholen. Es empfiehlt sich also, des Öfteren nach Updates Ausschau zu halten - und die eigene Neugier zu zügeln, wenn es um Datei-Anhänge geht. Dies gilt insbesondere für Outlook-Nutzer, da viele Schädlinge Microsofts E-Mail-Client als Angriffspunkt nutzen.


eye home zur Startseite
caretta9 19. Nov 2012

Lieber Lui Ist dieses Thema noch aktuell? LG caretta

Riebel 28. Jan 2009

wie bekomme ich den wurm weg?

Lui Kastelliz 19. Dez 2001

ich hab eine frage: nämlich mache ich diese mails wie sie genannt werden sowieso net auf...

Michele 18. Dez 2001

Warum machen immer alle Leute ein solches drama draus ist mal firewall ein gestellt so...

TheGolem 17. Dez 2001

und wieder klicken alle brav auf klickmich.exe, die sie von deinfreund4362@mail.com...



Anzeige

Stellenmarkt
  1. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  2. Swyx Solutions AG, Dortmund
  3. Dataport, Altenholz bei Kiel
  4. Gardemann Arbeitsbühnen GmbH, Winsen (Luhe)


Anzeige
Top-Angebote
  1. 198,00€
  2. 189,00€ + 4,99€ Versand (Vergleichspreis 224€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation

  1. Donald Trump

    Ein unsicherer Deal für die IT-Branche

  2. Apsara

    Ein Papierflieger wird zu Einweg-Lieferdrohne

  3. Angebliche Backdoor

    Kryptographen kritisieren Whatsapp-Bericht des Guardian

  4. Hyperloop

    Nur der Beste kommt in die Röhre

  5. HPE

    Unternehmen weltweit verfehlen IT-Sicherheitsziele

  6. Youtube

    360-Grad-Videos über Playstation VR verfügbar

  7. Online-Einkauf

    Amazon startet virtuelle Dash-Buttons

  8. US-Präsident

    Zuck it, Trump!

  9. Agent 47

    Der Hitman unterstützt bald HDR

  10. Mietwochen

    Media Markt vermietet Elektrogeräte ab einem Monat Laufzeit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Smartphones Textnachricht legt iPhone zeitweise lahm
  2. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. NSA-Ausschuss SPD empört über "Schweigekartell" der US-Konzerne
  2. Verfassungsbeschwerde Journalisten klagen gegen Datenhehlerei-Paragrafen
  3. Bundestagswahlkampf 2017 Die große Angst vor dem Internet

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

  1. Re: Nur zu 50% versichert

    Anonymouse | 15:08

  2. Re: Das S8 wird sicher bombig

    obermeier | 15:07

  3. Re: OT: Festplatten leihen?

    eddie8 | 15:06

  4. Re: Definitely feeling aggressive tendencies, sir!

    Palerider | 15:05

  5. Re: Träumer

    lear | 15:04


  1. 15:03

  2. 13:35

  3. 12:45

  4. 12:03

  5. 11:52

  6. 11:34

  7. 11:19

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel