Neuer Internet-Wurm "Gokar" befällt auch Webserver
Um einen Computer via E-Mail zu infizieren, verschafft sich "Gokar" - wie so viele seiner Artgenossen - Zugriff auf das Microsoft-Outlook-Adressbuch und verschickt seine Kopien an alle dort gefundenen Adressen.
Die verseuchten E-Mails besitzen jedoch keine konstanten Merkmale, was deren Erkennung ohne dafür sensibilisierte Antiviren-Software wesentlich erschwert. Der Betrefftext von mit Gokar verseuchter E-Mail soll aus folgenden Varianten zufällig gewählt werden:
- If I were God and didn't belive in myself would it be blasphemy
- The A-Team VS KnightRider ... who would win ?
- Just one kiss, will make it better. just one kiss, and we will be alright.
- I can't help this longing, comfort me.
- And I miss you most of all, my darling ...
- ... When autumn leaves start to fall
- It's dark in here, you can feel it all around. The underground.
- I will always be with you sometimes black sometimes white ...
- .. and there's no need to be scared, you re always on my mind.
- You just take a giant step, one step higher.
- The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
- The horizons lean forward, offering us space to place new steps of change.
- I like this calm, moments before the storm
- Darling, when did you fall..when was it over ?
- Will you meet me .... and we'll fly away ?!
Auch der Body wird zufällig aus nachfolgenden Variationen gewählt:
- Hey They say love is blind ... well, the attachment probably proves it.
Pretty good either way though, isn't it ?
You should like this, it could have been made for you
speak to you later - Happy Birthday
Yeah ok, so it's not yours it's mine :)
still cause for a celebration though, check out the details I attached - This made me laugh
Got some more stuff to tell you later but I can't stop right now
so I'll email you later or give you a ring if thats ok ?!
Speak to you later
Die an die verseuchte E-Mail angehängten Wurm-Trägerdateien haben eine Größe von etwa 15 KByte und können Endungen wie .SCR, .COM, .EXE, .BAT oder .PIF haben. Auch sie tragen willkürlich ausgewählte Namen wie beispielsweise:
- 3tgf3tgf3tgf373774285313tgf.scr
- ffdasfffdasfffdasf145361008658ffdasf.com
- rewfdrewfdrewfd30741913208rewfd.scr
Nach dem Starten der Datei soll sich der Wurm als KAREN.EXE ins Windows-Verzeichnis kopieren und diese Datei im Autostart-Bereich der System-Registry eintragen. So werde es Gokar möglich, sich automatisch bei jedem Neustart des infizierten Rechners aufzurufen. Danach beginne der Wurm seine Verbreitungs-Routine aufzurufen und sende sich an alle im Microsoft-Outlook-Adressbuch gefundenen Adressen.
Um sich via IRC-Kanäle zu versenden, soll Gokar außerdem die Dateien von IRC-Programmen modifizieren. So würden alle Benutzer von IRC-Kanälen, zu denen auch der infizierte Rechner Zugriff hat, die Wurmkopie in Form der KAREN.EXE-Datei erhalten.
Falls Gokar einen Windows-Webserver mit installiertem Internet Information Server verseucht, ändert der Wurm unautorisiert dessen Startseite. Besucher der Website erhalten daraufhin nicht mehr die ursprüngliche Webseite, sondern bekommen die WEB.EXE-Datei zum Download angeboten, die natürlich eine Gokar-Kopie darstellt.
Um sich zusätzlich zu schützen, scannt der Wurm den Arbeitsspeicher und versucht, falls vorhanden, die Antiviren-Programme zu schließen.
Viele Hersteller von Anti-Virensoftware dürften bereits ihre Software angepasst haben oder dies in den nächsten Tagen nachholen. Es empfiehlt sich also, des Öfteren nach Updates Ausschau zu halten - und die eigene Neugier zu zügeln, wenn es um Datei-Anhänge geht. Dies gilt insbesondere für Outlook-Nutzer, da viele Schädlinge Microsofts E-Mail-Client als Angriffspunkt nutzen.