Gokar
est un virus de mail écrit en Visual Basic, capable
de se propager en utilisant les messageries Microsoft Outook
et le logiciel mIRC. Il se présente sous la forme d'un
message dont le sujet et le corps sont aléatoirement
choisis dans la liste ci-dessous.
Sujets
:
- If
I were God and didn't belive in myself would it be blasphemy
- The
A-Team VS KnightRider ... who would win ?
- Just
one kiss, will make it better. just one kiss, and we will
be alright.
- I
can't help this longing, comfort me.
- And
I miss you most of all, my darling ...
- ...
When autumn leaves start to fall It's dark in here, you
can feel it all around.
- The
underground. I will always be with you sometimes black sometimes
white ...
- ..
and there's no need to be scared, you re always on my mind.
- You
just take a giant step, one step higher.
- The
air will hold you if you try, trust my wings of desire.
Glory, Glorified.......
Corps
du message :
- Happy
Birthday
- Yeah
ok, so it's not yours it's mine :)
- The
horizons lean forward, offering us space to place new steps
of change.
- I
like this calm, moments before the storm
- Darling,
when did you fall..when was it over ?
- Will
you meet me .... and we'll fly away ?!
- You
should like this, it could have been made for you speak
to you later
- They
say love is blind ... well, the attachment probably proves
it.
- Pretty
good either way though, isn't it ?
- still
cause for a celebration though, check out the details I
attached
- This
made me laug
- Got
some more stuff to tell you later but I can't stop right
now
- so
I'll email you later or give you a ring if thats ok ?!
- Speak
to you later
Le nom
du fichier joint (14,3 Ko) est une combinaison de nombres
aléatoires et de chaînes de caractères
dont
tgfdfg, jhfxvc, cgfd2, trevc, t6tr, ffdasf, glkfh, fhjdv,
qesac, kujzv, weafs, twat, rewfd, gfdsf, hgbv, fdsc, p0olik,
3tgf, rf43dr, t54refd, ut545a, r4354gkjw, vgrewu, xw54re,
y343rv, z3vdf, ainsi qu'une extension parmi .pif, .scr, .exe,
.com ou .bat (exemple : rewfdrewfdrewfd65432109876rewfd.pif)
Si le
fichier joint est exécuté, le virus se copie dans le répertoire
Windows sous le nom KAREN.EXE, modifie la base de registres
pour s'exécuter automatiquement au prochain démarrage
et empêcher le virus Goner éventuellement
présent de s'exécuter, s'envoie automatiquement
à tous les correspondants présents dans le carnet
d'adresses Outlook, et tente de désactiver les antivirus
suivants en terminant leur processus :
VSHWIN32.EXE
PW32.EXE
_avpm.exe
avpm.exe
ICLOAD95.EXE
ICMON.EXE
IOMon98.exe
VetTray.exe
Claw95.exe
f-stopw.exe
Si
le logiciel mIRC est détecté, Gokar modifie
le fichier C:\MIRC\SCRIPT.INI de manière à s'envoyer
automatiquement à tous les utilisateurs connectés
aux canaux visités par l'utilisateur contaminé.
Enfin,
si Gokar détecte la présent d'un serveur web
IIS, il se copie sur le disque sous le nom C:\INETPUB\WWWROOT\WEB.EXE,
puis créé les fichiers C:\INETPUB\WWWROOT\DEFAULT.HTM
et C:\INETPUB\WWWROOT\REDESI.HTM afin de remplacer la page
par défaut pour que chaque visiteur se voit proposé
de télécharger le fichier WEB.EXE contaminé
par le virus.
Télécharger
l'utilitaire FIXGOKAR (Trend Micro) pour éliminer
le virus
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Le
virus Gokar se réplique par le web, l'email et
l'IRC
13/12 - JDNet (lire
l'article)
|