Warnung vor wandlungsfähigem Wurm
Mehrere Antiviren-Hersteller warnen vor einem neuen Wurm. Der Schädling verbreitet sich nicht nur per E-Mail, sondern kann auch einen Webserver mit Microsofts IIS befallen. Zusätzlich versucht er sich über die Chat-Software mIRC zu verteilen.
Der häufigste Infektionsweg dürfte aber weiterhin über Microsofts Oulook-Programme gegeben sein. Dort kommt der Wurm unter verschiedenen Betreffzeilen und mit kryptischen Namen des Attachements an.
Da der neue Wurm aber nicht verschlüsselt ist und sich leicht entdecken und entfernen lässt, schätzen die Antiviren-Hersteller sein Verbreitungspotenzial als gering ein.
F-Secure zu GokarVerbreitung
Wird der Dateianhang gestartet, verschickt sich der Wurm an alle Einträge im Outlook-Adressbuch. Danach trägt er sich in die Registry ein, sodass sein Kern-Programm "karen.exe" bei jedem Systemstart aus dem Windows-Verzeichnis ausgeführt wird.
Anschließend wird die Chat-Software mIRC befallen, die auch die Basis für eine Vielzahl anderer IRC-Clients wie "Gamers IRC" und "Peace&Protection" darstellt.
In jedem Fall wird die Datei "script.ini" modifiziert. Der Wurm versucht dann, sich an jeden zu verschicken, der einen IRC-Channel betritt, in dem sich ein infizierter User befindet.
IIS
Läuft auf einem mit "Gokar" befallenen Rechner auch noch Microsofts Internet Information Server [IIS], so modifiziert "Gokar" die Startseite, die dieser Server ausliefert. Jeder Besucher der Site wird dann mit einem Dateidialog konfrontiert, der die Datei "web.exe" herunterladen will. Darin steckt natürlich der Wurm selbst. Die ausführbaren Dateien von "Gokar" sind wie schon beim jüngsten Massenbefall durch den "Goner"-Wurm in Visual Basic geschrieben und im UPX-Verfahren gepackt.