Web – Stanno arrivando dagli osservatori antivirus dei maggiori produttori di software di sicurezza segnalazioni di allerta per un worm, chiamato Gokar, che si diffonde in rete attraverso mIRC, la celebre applicazione per la chat IRC, e Microsoft Outlook.
A quanto pare Gokar è di origine asiatica ed ha la capacità, precedentemente registrata solo in alcuni worm particolarmente aggressivi, di modificare la propria “apparenza”, trasformando di volta in volta il subject quando si diffonde via email e anche il nome dell’attachment infetto che, se aperto, lo lancia sui computer Windows.
L’osservatorio di F-Secure classifica Gokar come un worm di secondo livello, e questo significa che sebbene potenzialmente pericoloso l’epidemia che ha scatenato rimane fino a questo momento contenuta. Dello stesso avviso anche i labs di Symantec, SARC , che posizionano Gokar a livello 2, dunque ben al di sotto delle più pericolose soglie di rischio toccate da vermicelli come Badtrans.B , Gone o Sircam . Va detto però che proprio Symantec indica tra le caratteristiche del worm la sua alta capacità di diffusione come l’elemento a cui prestare maggiore attenzione.
A rendere insidioso Gokar è una funzione già vista in Gone, che mira a disabilitare i software antivirus installati sui computer nei quali si diffonde. Secondo Trend Micro , che per prima ha dato notizia dell’epidemia, Gokar sarebbe in grado di colpire tutte le piattaforme Windows. E se la macchina colpita funziona come web server, Gokar va anche a modificare la pagina di partenza di Internet Information Server per offrire a tutti i visitatori del sito il file infetto web.exe, che naturalmente contiene a sua volta il worm.
Stando alla ricostruzione degli esperti del SARC, le email contenenti Gokar possono avere come subject uno dei seguenti:
-If I were God and didn’t belive in myself would it be blasphemy
-The A-Team VS KnightRider… who would win ?
-Just one kiss, will make it better. just one kiss, and we will be alright.
-I can’t help this longing, comfort me.
-And I miss you most of all, my darling…
-… When autumn leaves start to fall
-It’s dark in here, you can feel it all around. The underground.
-I will always be with you sometimes black sometimes white…
-.. and therès no need to be scared, you re always on my mind.
-You just take a giant step, one step higher.
-The air will hold you if you try, trust my wings of desire. Glory, Glorified…….
Il testo del messaggio, invece, è uno dei seguenti:
-Happy Birthday
-Yeah ok, so it’s not yours it’s mine:)
-The horizons lean forward, offering us space to place new steps of change.
-I like this calm, moments before the storm
-Darling, when did you fall..when was it over ?
-Will you meet me…. and wèll fly away ?!
-You should like this, it could have been made for you speak to you later
-They say love is blind… well, the attachment probably proves it.
-Pretty good either way though, isn’t it ?
-still cause for a celebration though, check out the details I attached
-This made me laugh
-Got some more stuff to tell you later but I can’t stop right now
-so Ìll email you later or give you a ring if thats ok ?!
-Speak to you later
Il file infetto in allegato cambia nome inserendo numeri a caso e aggiungendovi una delle seguenti espressioni: tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv weafs twat rewfd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a r4354gkjw vgrewu xw54re y343rv z3vdf. L’estensione del file può essere.pif,.scr,.exe,.com o.bat.
Una volta colpito il sistema, il worm aggiunge il nome dell’utente Windows alla fine del messaggio e si auto-invia in questo modo a tutti gli indirizzi compresi nella rubrica.
Il passo successivo è la copia di sé stesso nella cartellina di Windows in un file che si chiama “Karen.exe”. E aggiunge un valore “c:windowskaren.exe” alla chiave di registro: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Questo consente al worm di riattivarsi ad ogni riavvio di Windows.
Fatto questo, il worm cerca di inserire un file script.ini all’interno della directory c:mirc in modo da potersi inviare attraverso le chat in mIRC. Se sul computer trova la directory del web server (C:inetpubwwwroot folder) ci si copia all’interno come Web.exe. E rinomina default.htm in redesi.htm creando un nuovo file default.htm che presenta questo testo: “We Are Forever”.
Per conoscere quanto accade sul “fronte” dei virus è disponibile il Canale Virus di Punto Informatico.