Risk                          : Düsük
Virüs Tipi                  : Solucan (worm)
Diger isimleri (alias) : Win32.Gokar, GOKAR.A, W32/Gokar@MM, W32/Gokar.htm

Bu windowsda çalisan solucan Visual Basic ile derlenmis. Microsoft Outlook ve mIRC ile yayilabiliyor ve eposta`da rastgele isimlendirilmis bir ek dosya olarak geliyor. Solucan ayrica mIRC uygulamasini bir arka kapi kurmak için kullaniyor. Hasar verici bir özelligi yok.

Detay:
Solucan Visual Basic ile derlenmis ve UPX packer ile sikistirilmis bir program. Solucanin geldigi mesaj asagidakileri içeriyor:

Konu: (Asagidakilerden herhangi biri olabilir)

 - The A-Team VS KnightRider ... who would win ?
- And I miss you most of all, my darling ...
- The air will hold you if you try, trust my wings of desire. Glory,Glorified.......
- If I were God and didn’t belive in myself would it be blasphemy
- Just one kiss, will make it better. Just one kiss, and we will be alright.
- I can’t help this longing, comfort me.
- It’s dark in here, you can feel it all around. The underground.
- .. and there’s no need to be scared,you re always on my mind.
- You just take a giant step, one step higher.
- The horizons lean forward, offering us space to place new steps of change.
- I like this calm, moments before the storm
- Darling, when did you fall..when was it over?
 

Mesaj gövdesi: (Asagidakilerden herhangi biri olabilir)

- Yeah ok, so it’s not yours it’s mine :)
- You should like this, it could have been made for you
- speak to you later
- Pretty good either way though, isn’t it?
- Happy Birthday
- still cause for a celebration though, check out the details I attached
- This made me laugh
- Got some more stuff to tell you later but I can’t stop right now
- so I’ll email you later or give you a ring if that’s ok ?!
- Speak to you later
 

Solucan kendisini %Windows%\KAREN.EXE dosyasi olarak kopyaliyor. Windows her açildiginda bu dosyanin çalismasi için asagidaki registry anahtarini yaratiyor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Karen = %Windows%\KAREN.EXE.

%Windows% windows dizinin bulundugu degisken. Genelde C:\windows`dur.Worm ayrica mIRC uygulamasini bir arka kapi kurmak için kullaniyor.
c:\MIRC dizininde mIRC programi çalistirildiginda yüklenecek olan script`i içeren bir SCRIPT.INI dosyasi yaratiyor. Solucan mIRC kullanicisi ile ayni
kanalda olanlara kendisinin bir kopyasini göndererek yayiliyor. Solucan ayrica kendisinin bir kopyasini C:\INETPUB\WWWROOT\WEB.EXE
dosyasina yaziyor ve iki adet HTML dosyasi yaratiyor. C:\INETPUB\WWWROOT\DEFAULT.HTM ve C:\INETPUB\WWWROOT\REDESI.HTM.
Bu IIS web varsayilan sayfasini solucaninki ile degistiriyor. Sayfa açildiginda web sitesi solucanin biraktigi WEB.EXE dosyasina bir link gösteriyor.

Korunma :

Otomatik temizleme:
Sisteminizi otomatik olarak temizlemek için Trend Micro`nun fix_gokar.exe fix aracini asagidaki adreslerden indirip kullanabilirsiniz:
http://www.antivirus.com/vinfo/security/fix_gokar.exe
http://www.olympos.org/tools/virus/fix_gokar.exe
Not: Trend Micro, kullanmadan önce readme_gokar.txt
(http://www.olympos.org/tools/virus/readme_gokar.txt) dosyasini
okumanizi tavsiye ediyor.

Manuel temizleme:
Sisteminizi antivirus programiniz ile tarayip WORM_GOKAR olarak saptanan dosyalari silin. Antivirus programi olmayanlar Trend Micro`nun
ücretsiz online virüs tarayicisini asagidaki adreslerden kullanabilirler:
http://housecall.antivirus.com
http://housecall.olympos.org

Etkilenen sistemi manuel olarak temizlemek için %Windows%\KAREN.EXE
dosyasini silin.
Start menüsünde Run`a tiklayin, Regedit yazip enter tusuna basin.
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run>Karen registry anahtarinda asagidaki kayiti silin:
C:\MIRC\SCRIPT.INI
registry editörünü kapatin.
C:\INETPUB\WWWROOT\DEFAULT.HTM dosyasini yedekten restore edin.
C:\INETPUB\WWWROOT\REDESI.HTM dosyasini silin.
C:\INETPUB\WWWROOT\WEB.EXE dosyasini silin.

Ref:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GOKAR.A