Нетоскоп / Новости / Червь Gokar распространяется по почте и IRC

		Нетоскоп/Новости/14.12.2001 http://www.netoscope.ru/news/2001/12/14/4339.html Червь Gokar распространяется по почте и IRC Вячеслав Ансимов 14.12.2001 15:28

В четверг обнаружен червь, широко использующий продукты Microsoft: Outlook, и Internet Information Server (IIS). Он получил название "Gokar". Как и Code Red и Nimda, Gokar использует дыру в IIS для поражения веб-серверов, управляемых этой программой. Кроме почты червь использует для распространения каналы IRCи программу mIRC.

С точки зрения необратимых последствий, большой опасности Gokar не представляет. Пораженные компьютеры он использует лишь для саморассылки по адресам из Outlook. Если же на компьютере установлен IIS-сервер, червь модифицирует его стартовую страницу так, что при каждом ее посещении предлагается скачать файл Web.exe, в котором содержится копия червя.

По сообщениям MessageLabs, в первые 24 часа после обнаружения червя в Австралии поступило около 100 сообщений о заражении, что значительно уступает по скорости распространения червям SirCam и недавнему Goner.

Как сообщает " Лаборатория Касперского", Gokar представляет собой exe-файл размером около 15 Кб. После его запуска червь копирует себя в каталог Windows под именем karen.exe и регистрируется в автозапуске системного реестра.

После каждого запуска Gokar рассылает себя по адресам из Outlook. Кроме вызванной этим загрузки трафика и неприятных ощущений от несанкционированного проникновения в реестр, других проблем на несерверных машинах червь не создает. Как отмечает директор по исследованиям Symantec, в корпоративных сетях паразитный почтовый трафик, генерируемый червем, действительно может замедлить каналы.

К особенностям данного червя следует отнести дополнительные трудности с его обнаружением и уничтожением. Для дополнительной защиты он выполняет сканирование оперативной памяти и пытается закрыть некоторые антивирусные программы.

Без антивирусных программ идентифицировать зараженные письма трудно, так как их внешние признаки широко варьируются. Строка "Тема" случайным образом выбирается из 15 вариантов, а текст письма из 4. Вложенные файлы-носители червя могут иметь расширения .scr, . com, .exe, .bat, .pif и носят случайные имена.

С точки зрения распространения, особенность Gokar состоит в его способности распространяться не только по почте, но и через каналы IRC при работе с программой mIRC. При этом червь игнорирует пользователя, от которого приходят сообщения с "опасными" для него ключевыми словами: "script", "infected", "dcc", "script", "infected".

Как обычно, рекомендуется не открывать вложения в письма от неизвестных источников, дождаться антивирусных обновлений или отказаться от уязвимой продукции Microsoft.