Wie gestern schon berichtet warnt Kaspersky Lab vor einem neuen Internet-Wurm namens Gokar. Der Schädling ist eine EXE-Datei mit einer Größe von etwa 15 KByte und verbreitet sich via eMails und IRC-Kanäle (Internet Relay Chat). Außerdem verändert er die Startseiten der Web-Server, die unter IIS (Internet Information Server) laufen.

Wurm führt sich bei jedem Neustart automatisch aus

Nach dem Starten der Datei kopiert sich der Wurm ins Windows-Verzeichnis mit dem Namen KAREN.EXE und registriert diese Datei im Autostart der System-Registry. So ist es Gokar möglich sich automatisch bei jedem Neustart des infizierten Rechners aufzurufen.

Danach beginnt der Wurm seine Verbreitungs-Routine via eMail auszuführen. Dazu verschafft er sich Zugriff auf das Microsoft Outlook Adressbuch und sendet seine Kopien an alle dort gefundenen Adressen.

Um sich via IRC-Kanäle zu versenden, ändert Gokar die Dateien des IRC-Bedienungsprogramms. Das heißt, dass alle Benutzer des IRC-Kanals, an dem auch der infizierte Rechner hängt, die Wurmkopie (KAREN.EXE-Datei) erhalten.

Gokar auch eine Gefahr für Web-Server

Falls Gokar einen Computer verseucht, der mit einem Web-Server verbunden ist, ändert der Wurm unautorisiert dessen Startseite. Besucher der Web-Site erhalten nun nicht mehr die ursprüngliche Seite, sondern den Vorschlag eine WEB.EXE-Datei herunterzuladen, die eine Gokar-Kopie beinhaltet.

Um sich zusätzlich zu schützen, scannt der Wurm den Arbeitsspeicher und versucht, falls vorhanden, die Antiviren-Programme zu schließen.

Die Schutzmaßnahmen gegen Gokar wurden bereits den Kaspersky Lab Datenbanken hinzugefügt.

Eine nähere Beschreibung zu Gokar finden Sie im Kaspersky Viren-Lexikon.