.

V�rus Gokar se espalha por e-mail e IRC

    Tem v�rus novo circulando pela rede, o W32/Gokar@MM, ou simplesmente Gokar, que se propaga via e-mail e canais IRC (Internet Chat Relay). Quando o usu�rio clica no arquivo anexo da mensagem, ele cria um execut�vel no diret�rio Windows, Karen.EXE, que se auto-carrega toda vez que o sistema � inicializado.

Um dos problemas do Gokar � sua versatilidade. Para se ter uma id�ia, a McAfee identificou pelo menos 14 assuntos diferentes na linha de Subject da mensagem infectada, e pelo menos tr�s textos diferentes para o corpo da mesma. Os subjects podem ser:

I were God and didn�t belive in myself would it be blasphemy

• Just one kiss, will make it better. just one kiss, and we will be alright.
• I like this calm, moments before the storm
• ... and there�s no need to be scared, you re always on my mind.
• The horizons lean forward, offering us space to place new steps of change.
• The A-Team VS KnightRider ... who would win ?
• I can�t help this longing, comfort me.
• And I miss you most of all, my darling ...
• ... When autumn leaves start to fall
• I will always be with you sometimes black sometimes white...
• The air will hold you if you try, trust my wings of desire. Glory, Glorified.......
• Darling, when did you fall..when was it over ?
• You just take a giant step, one step higher.
• It�s dark in here, you can feel it all around. The underground.

  
  J� o texto da mensagem pode ser:

• Happy Birthday

  Yeah ok, so it�s not yours it�s mine

  still cause for a celebration though, check out the details I attached

• Hey They say love is blind ... well, the attachment probably proves it. Pretty good either way though, isn�t it ?
• You should like this, it could have been made for you speak to you later

  Em qualquer um dos casos, o arquivo anexo tem sempre um nome que mistura letras e n�meros aleatoriamente, e pode vir com as termina��es .bat, .com, .exe, .pif e .scr. Exemplo: b3rght5.bat.

  Segundo a McAfee, a chave que se grava no Windows para ser carregada toda vez que o sistema � inicializado pode ser identificada como: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\RunKaren=C:\WINDOWS\karen.exe

  Depois de se auto-instalar, o v�rus tenta se auto-enviar para toda a lista de contatos do Outlook e tamb�m lan�a um script mIRC chamado SCRIPT.INI - este script ir� enviar o Gokar para outros usu�rios que acessarem o mesmo canal de IRC que o usu�rio j� infectado. O mesmo vale se o usu�rio estiver acessando um servidor web: o mesmo ser� infectado e o v�rus tentar� se espalhar para todos que estiverem visitando sites nele hospedados.

  Al�m disso, ele ir� tamb�m se auto-copiar para C:\inetpub\wwwroot\web.exe, criando o arquivo Default.htm (C:\inetpub\wwwroot\default.htm) que, automaticamente, alerta o usu�rio a executar/salvar o worm (WEB.EXE).

.