NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

Llega en un fichero de nombre variable y extensiones BAT, COM, PIF, EXE, y SCR, anexado a un e-mail enviado masivamente, o a través de IRC, o por descarga web.


Nombre de virus: W32/GOKAR @ MM
Alias conocidos: WORM_GOKAR.A, W32/GOKAR.htm
Riesgo Infección: Alto (Bajo, Alto, Muy Alto)
Activación: No se le conocen payloads dañinos, aparte de la propagación por Internet
Propagación: Por envio masivo de mails, con fichero infectado, a las listas de Outlook, y por IRC (Internet Relay Chat) y por descargas de una web infectada (WEB.EXE)
Detección: DATS 4176
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otro virus de propagación masiva, que se autoenvía a todas las direcciones de la libreta de Outlook, en un e-mail con nombre, texto variable, pero en inglés, y fichero también aleatorio pero con extensión BAT, COM, PIF, EXE y SCR, cuya ejecución crearía en el directorio C:\Windows el fichero (oculto) KAREN.EXE, y una clave en el registro de sistema llamando a dicho fichero de forma que sería ejecutado en cada reinicio del sistema. También puede entrar por conexión a IRC (Internet Relay Chat), o desde una web infectada, en cuyo caso descarga y ejecuta el fichero WEB.EXE, y si el visitante es un servidor web, descarga y sobreescribe el C:\INETPUB\WWWROOT\DEFAULT.HTM, para infectar futuros visitantes

La clave que modifica en el registro de sistema la ejecución del fichero anexado al mail, es:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\Karen =C:\Windows\Karen.exe

Recordamos, una vez mas, que nunca se deben ejecutar los ficheros que se reciben anexados a un mail, si no se han solicitado, aunque vengan de direcciones conocidas, pues justamente los virus envían los mails a direcciones de las libretas del usuario, en este caso de Outlook, por lo que justamente el emisor conoce a los destinatarios, y probablemente por dicha razón, también para los receptores el emisor será alguien conocido.

Con los DATS 4176 ya se controla dicho virus, que por lo que parece no tiene características destructivas, y sólo cabe borrar la clave del registro de sistema y reiniciar el equipo para eliminarlo en los casos en que se resista por estar en uso. En tal caso se puede ejecutar nuestra herramienta UNDO25.REG, a la que se ha añadido la restauración de dicha clave.

Como siempre las herramientas están disponibles en la sección de DESCARGA/UTILIDADES de nuestra web, www.satinfo.es

 

VIRUSCAN SPAIN SERVICE 18-12-2001

Anterior