Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Gokar.A. Correo electrónico y chats comprometidos
 
VSantivirus No. 523 - Año 6 - Jueves 13 de diciembre de 2001

Nombre: W32/Gokar.A
Tipo: Gusano de Internet
Alias: Win32.Gokar, W32/Gokar@MM, WORM_GOKAR.A, GOKAR.A, W32/Gokar.htm
Tamaño: 14,336 Bytes

Se trata de un gusano escrito en Visual Basic, y comprimido con la utilidad UPX, que se propaga a través del correo electrónico, utilizando el Outlook y Outlook Express. También utiliza para propagarse el mIRC. No posee ninguna rutina destructiva.

El mensaje infectado tiene como adjunto un archivo (que es el propio gusano), y un asunto que puede ser uno cualquiera de los siguientes, y que es seleccionado al azar por el gusano:

If I were God and didn't belive in myself would it be blasphemy

The A-Team VS KnightRider ... who would win ?

Just one kiss, will make it better. just one kiss, and we will be alright.

I can't help this longing, comfort me.

And I miss you most of all, my darling ...

When autumn leaves start to fall

It's dark in here, you can feel it all around. The 
underground.

will always be with you sometimes black sometimes white ...

... and there's no need to be scared, you re always on my mind.

You just take a giant step, one step higher.

The air will hold you if you try, trust my wings of desire. Glory, Glorified.......

The horizons lean forward, offering us space to place new steps of change.

I like this calm, moments before the storm

Darling, when did you fall..when was it over ?

1 you meet me .... and we'll fly away ?!

El cuerpo del mensaje puede contener uno de los siguientes textos:

You should like this, it could have been made for you speak to you later 
[nombre del remitente]

Hey 
They say love is blind ... well, the attachment probably proves it. Pretty good either way though, isn't it ? 
[nombre del remitente]

Happy Birthday
Yeah ok, so it's not yours it's mine :) 
still cause for a celebration though, check out the details I attached
[nombre del remitente]

This made me laugh 
Got some more stuff to tell you later but I can't stop right now so I'll email you later or give you a ring if thats ok ?! 
Speak to you later 
[nombre del remitente]

El nombre del archivo adjunto es una combinación al azar, con diferentes partes de una lista predefinida en el código del gusano, respetándose este orden:

[texto][texto][texto][11 números][texto].[extensión]

La variable [texto] puede ser cualquiera de la siguiente lista:

jhfxvc
cgfd2 
trevc 
t6tr
ffdasf 
glkfh 
fhjdv 
qesac
kujzv 
weafs
twat
rewfd
gfdsf
hgbv
fdsc
p0olik
3tgf
rf43dr
t54refd
ut545a
r4354gkjw
vgrewu
xw54re
y343rv 
z3vdf 

[extensión] es seleccionada de esta lista:

exe
scr
pif
com
bat

Dos ejemplos de adjuntos, bajo estas condiciones:

twattwattwat12345678910twat.exe

p0olikp0olikp0olik46579813249p0olik.pif

La infección se produce cuando abrimos el adjunto. Si eso ocurre el gusano se copia a si mismo al directorio de Windows con el nombre de KAREN.EXE, con su atributo de oculto (+H).

También modifica el registro de Windows para ejecutarse automáticamente en próximos reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen = %Windows%\Karen.exe

Además, crea estas claves:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
C:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
C:\%Windows%

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
C:\%System%

Las variables %Windows% y %System%, representan a los directorios C:\WINDOWS y C:\WINDOWS\SYSTEM en una instalación típica.

Si el cliente de mIRC, está instalado en C:\MIRC, el gusano sobrescribe el archivo de control del mIRC, SCRIPT.INI, por uno creado por él mismo.

Algunos de los comandos disponibles a partir de entonces con el mIRC, se habilitan si se recibe a través de los canales de chat cierto texto. Si ello ocurre se producen determinadas acciones, y esta es la lista de las mismas:

"karen" cambia el nombre de usuario por el de "W32_Karen"
"worm" cambia el nombre de usuario por el de "W32Karen1"
"virus" cambia el nombre de usuario por el de "KarenWorm"
"sex" cambia el nombre de usuario por el de "KarenGobo"
"script", "infected", o "dcc" hacen que el usuario ignore el remitente de estas palabras.

Si un mensaje privado es enviado al usuario conteniendo uno de los textos siguientes:

"script", "infected", o "dcc", El usuario ignora el remitente del mensaje

"e" hace que el cliente se una al canal #teamvirus

Finalmente, si el usuario posee un servidor Web funcionando en la máquina infectada, y éste se encuentra en el directorio por defecto: C:\INETPUB\WWWROOT, el gusano se copiará allí como WEB.EXE (C:\Inetpub\wwwroot\Web.exe). Luego copiará la página DEFAULT.HTML como REDESI.HTM y sobrescribirá DEFAULT.HTM con la suya, la que solo mostrará este texto en grandes letras azules con un enlace al archivo ejecutable WEB.EXE:

We Are Forever

Cualquiera que visite esta página puede descargar el gusano a su máquina como WEB.EXE. Si el usuario ejecuta este archivo, se infectaría.

El código HTML de la página creada por el gusano, también contiene el siguiente comentario:

<!-- Gobo 04/12/01 -->

Cada vez que el gusano se ejecuta en una computadora, también escanea la memoria en busca de alguno de los siguientes procesos, todos ellos pertenecientes a conocidos antivirus.

Si detecta alguno de ellos, acaba con dicho proceso en memoria (hasta el próximo reinicio de Windows). Esto lo hace para evitar ser detectado por dicho antivirus.

  VSHWIN32.EXE    (McAfee)
  NAVAPW32.EXE    (Norton)
  _avpm.exe       (Kaspersky)
  avpm.exe        (Kaspersky)
  ICLOAD95.EXE    (Sophos)
  ICMON.EXE       (Sophos)
  IOMon98.exe     (Trend)
  VetTray.exe     (CA)
  Claw95.exe      (Norman)
  f-stopw.exe     (F-PROT)

Cómo quitar manualmente el virus

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

2. Busque la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run 

3. Pinche en la carpeta "Run" y busque y borre en la ventana derecha, la referencia a la entrada "Karen":

Karen          c:\windows\karen.exe

4. Cierre el REGEDIT y reinicie su PC

5. Busque y borre el archivo C:\Windows\KAREN.EXE

6. Busque y borre este archivo: C:\MIRC\SCRIPT.INI

7. Si tiene instalado el servidor Web Microsoft IIS (y usó las ubicaciones "por defecto"), borre los siguientes archivos:

c:\inetpub\wwwroot\web.exe
c:\inetpub\wwwroot\default.htm

8. Renombre el archivo c:\inetpub\wwwroot\redesi.htm como: c:\inetpub\wwwroot\default.htm o reinstale los programas necesarios:

REN c:\inetpub\wwwroot\redesi.htm c:\inetpub\wwwroot\default.htm

9. En todos los casos, ejecute un par de antivirus al día para revisar su PC.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS