Wurm "W32.Gokar": Kommt per Mail, IRC und IIS

Die Antiviren-Hersteller warnen vor einem neuen Wurm. Der Schädling verbreitet sich nicht nur per Mail, sondern kann auch einen Webserver mit Microsofts IIS befallen. Zusätzlich versucht er sich über die Chat-Software mIRC zu verteilen.

Der häufigste Infektionsweg dürfte aber laut einem Bericht unserer SchwesterpublikationTecchannelweiterhin über Microsofts Oulook-Programme gegeben sein. Dort kommt der Wurm unter verschiedenen Betreff-Zeilen und mit kryptischen Namen des Attachements an.

Eine Liste der Namen finden Sie beispielsweisebei Symantec. Wird der Dateianhang gestartet, verschickt sich der Wurm an alle Einträge im Outlook-Adressbuch.

Danach trägt er sich in die Registry ein, so dass sein Kern-Programm "karen.exe" bei jedem Systemstart aus dem Windows-Verzeichnis ausgeführt wird. Anschließend wird die Chat-Software mIRC befallen, die auch die Basis für eine Vielzahl anderer IRC-Clients wie "Gamers IRC" oder "Peace&Protection" darstellt. In jedem Fall wird die Datei "script.ini" modifiziert. Der Wurm versucht dann, sich an jeden zu verschicken, der einen IRC-Channel betritt, in dem sich ein infizierter User befindet.

Läuft auf einem mit Gokar befallenen Rechner auch noch Microsofts "Internet Information Server" (IIS), so modifiziert Gokar die Startseite, die dieser Server ausliefert. Jeder Besucher der Site wird dann mit einem Dateidialog konfrontiert, der die Datei "web.exe" herunterladen will. Darin steckt natürlich der Wurm selbst.

Die ausführbaren Dateien von Gokar sind wie schon beim jüngsten Massenbefall durch den Goner-Wurm (wir berichteten) in Visual Basic geschrieben und im UPX-Verfahren gepackt. Da der neue Wurm aber nicht verschlüsselt ist und sich leicht entdecken und entfernen lässt, schätzen die Antiviren-Hersteller sein Verbreitungspotential als gering ein.