GOKAR, gusano que satura servidores Web, Lan y PC's

© Jorge Machado  Lima-Perú

Worm/Gokar.A, W32/Gokar.A, W32/Gokar@mm

Gokar es un gusano reportado el 13 de Diciembre del 2001, de gran difusión masiva en Internet, por sus gran capacidad de saturación de servidores Web, de Correo, LAN, estaciones de trabajo, PC individuales y domésticas, a causa de su efecto multiplicador a través de E-mail y servicios de Chat.

Ha sido desarrollado en Visual Basic 6.0, tiene una extensión de 14 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP

Se propaga a través de mensajes de correo electrónico con un archivo anexado elegido en forma aleatoria desde una lista contenida en el cuerpo de su código viral. Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook y Outlook Express, en un mensaje de correo:

 

El asunto de los mensajes es elegido en forma aleatoria de la siguiente lista: 

If I were God and didn't belive in myself would it be blasphemy
The A-Team VS KnightRider ... who would win
Just one kiss, will make it better. just one kiss, and we will be alright.
I can't help this longing, comfort me.
And I miss you most of all, my darling ...
... When autumn leaves start to fall
It's dark in here, you can feel it all around. The underground.
I will always be with you sometimes black sometimes white ...
... and there's no need to be scared, you re always on my mind.
You just take a giant step, one step higher.
The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
The horizons lean forward, offering us space to place new steps of change.
I like this calm, moments before the storm
Darling, when did you fall..when was it  over ?
Will you meet me .... and we'll fly away ?!

El cuerpo del mensaje, es también elegido en forma aleatoria:

 
You should like this, it could have been made for you
speak to you later
Hey
They say love is blind ... well, the attachment probably proves it.
Pretty good either way though, isn't it ?
Happy Birthday
Yeah ok, so it's not yours it's mine :)
still cause for a celebration though, check out the details I attached
This made me laugh
Got some more stuff to tell you later but I can't stop right now
so I'll email you later or give you a ring if thats ok ?!
Speak to you later

El archivo anexado consiste en un número aleatorio unido a uno de los siguientes segmentos de textos:

tgfdfg  jhfxvc  cgfd2  trevc  t6tr  ffdasf  glkfh  fhjdv  qesac  kujzv  weafs  twat  rewfd  gfdsf  hgbv  fdsc  p0olik  3tgf  rf43dr t54refd  ut545a  r4354gkjw  vgrewu  xw54re  y343rv  z3vdf

seguido de cualquiera de las siguientes extensiones:

.pif
.scr
.exe
.com
.bat

Si el archivo anexado es ejecutado, el gusano se auto-copiará en la carpeta C:\Windows con el nombre de KAREN.EXE:

C:\Windows\KAREN.EXE

Luego, para asegurarse de ser activado la próxima vez que se inicie Windows, el gusano modifica la llave del registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Karen = C:\Windows\Karen.exe

Gokar también se propaga a través del popular canal de Chat que haga uso del software mIRC.

A continuación, busca la existencia de la aplicación mIRC en la carpeta C:\Mirc del sistema infectado y si ésta es hallada, crea un archivo script.ini para propagarse a través del IRC (Internet Relay Chat) utilizando este servicio. De este modo, cuando el usuario se encuentre conectado en alguna sesión de chat, el sistema del usuario infectado enviará una copia del gusano a cada persona que se conecte o esté participando en ese foro.

Finalmente, el gusano busca la carpeta C:\inetpub\wwwroot, ubicado únicamente en los Servidores Web, para auto-copiarse con el nombre de C:\Inetpub\wwwroot\Web.exe y a la vez crear un archivo de nombre C:\Inetpub\wwwroot\Default.htm con lo cual logrará que cualquier visitante que navegue por dicho servidor web, auto-descargue el archivo WEB.EXE, logrando así que el virus se auto-ejecute e inicie su proceso de infección.

PER ANTIVIRUS® versión 7.2 con registro de virus al 13 de Noviembre del 2001 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS