|
Desde ayer día 13, las compañías anti-virus están alertando
de la presencia "in the wild" de un nuevo gusano
denominado Gokar.A escrito en Visual Basic, que se propaga a
través de correo electrónico, páginas web y canales mIRC.
Gokar no utiliza un aspecto uniforme para su difusión a
través de e-mail. De esta forma, el asunto puede ser uno de los
siguientes:
... When autumn leaves start to fall
Just one kiss, will make it better. just one kiss, and we will
be alright.
And I miss you most of all, my darling ...
Darling, when did you fall..when was it over ?
.. and there's no need to be scared, you re always on my mind.
I like this calm, moments before the storm
It's dark in here, you can feel it all around. The underground.
You just take a giant step, one step higher.
The A-Team VS KnightRider ... who would win ?
The air will hold you if you try, trust my wings of desire.
Glory, Glorified.......
I can't help this longing, comfort me.
If I were God and didn't belive in myself would it be blasphemy
The horizons lean forward, offering us space to place new steps
of change.
I will always be with you sometimes black sometimes white ...
El cuerpo del mensaje también se selecciona entre una de
estas opciones:
Happy
Birthday
Yeah ok, so it's not yours it's mine :)
still cause for a celebration though, check out the details I
attached
You should
like this, it could have been made for you
speak to you later
Hey
They say love is blind ... well, the attachment probably proves
it.
Pretty good either way though, isn't it ?
Mientras que el nombre del adjunto está formado por una
combinación aleatoria de caracteres alfanuméricos con una de
las siguientes extensiones: EXE, SCR, PIF, COM o BAT.
Si el receptor del e-mail ejecuta el archivo, este se
copiará en la carpeta del sistema bajo el nombre de KAREN.EXE
con atributo oculto, modificará el registro para ejecutarse en
cada arranque del equipo y a continuación, se enviará a todas
las direcciones de la agenda de Outlook.
En caso de que el equipo tenga instalada la aplicación mIRC,
Gokar también se distribuirá a través del canal IRC. Para
ello, creará un archivo SCRIPT.INI con el fin de distribuir el
virus (KAREN.EXE) a los usuarios conectados a este servicio que
recibirán el mensaje "If this doesn't make you smile,
nothing will". Además, sobre determinados mensajes
puede modificar el nickname del usuario por W32_Karen, W32Karen1,
KarenWorm, KarenGobo o teamvirus.
Este nuevo gusano también puede difundirse a través de
páginas web. Si comprueba que su víctima tiene instalado el
servidor de correo IIS de Microsoft, se copiará en la carpeta
raíz de IIS como WEB.EXE, renombrará el archivo DEFAULT.HTM
a REDESI.HTM (que curiosamente tiene el nombre de otro
virus) y creará su propia página de inicio. En el caso de que
un usuario la visite, se le preguntará si desea descargar el
archivo que contiene el virus, WEB.EXE. Si decide ejecutarlo
desde su ubicación actual (no desde su equipo), el gusano se
activará.
Por las múltiples vías de propagación que utiliza Gokar
para su difusión, los expertos aconsejan que los usuarios de
soluciones anti-virus actualicen cuanto antes sus programas.
|
