ชื่อ : W32.Gokar.A@mm
ค้นพบเมื่อ : 12 ธันวาคม 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32.Gokar
ระดับความรุนแรง : ปานกลาง

ข้อมูลทั่วไป
Gokar เป็นตัวหนอนที่ถูกเขียนขึ้นด้วยภาษา Visual Basic กระจายตัวผ่านทางอีเมล์ และตัวหนอนถูกย่อขนาดลงโดยใช้ UPX Packer Program นอกจากนี้มันยังสามารถกระจายตัวผ่านทาง mIRC โดยใช้ Script ได้ และกระจายตัวผ่าน Microsoft Outlook โดยจะส่งอี-เมล์ไปยังทุกคนที่มีรายชื่อใน address book ตัวหนอนจะทำงานก็ต่อเมื่อผู้ใช้รันไฟล์ที่แนบมากับอีเมล์
อีเมล์ที่ตัวหนอนส่งไปจะมีลักษณะดังนี้

Subject: จะมีข้อความอย่างใดอย่างหนึ่งต่อไปนี้

• If I were God and didn't belive in myself would it be blasphemy
• The A-Team VS KnightRider ... who would win ?
• Just one kiss, will make it better. just one kiss, and we will be alright.
• I can't help this longing, comfort me.
• And I miss you most of all, my darling ...
• ... When autumn leaves start to fall
• It's dark in here, you can feel it all around. The underground.
• I will always be with you sometimes black sometimes white ...
• .. and there's no need to be scared, you re always on my mind.
• You just take a giant step, one step higher.
• The air will hold you if you try, trust my wings of desire. Glory, Glorified.......

Body: จะมีข้อความอย่างใดอย่างหนึ่งต่อไปนี้

• Happy Birthday
• Yeah ok, so it's not yours it's mine :)
• The horizons lean forward, offering us space to place new steps of change.
• I like this calm, moments before the storm
• Darling, when did you fall..when was it over ?
• Will you meet me .... and we'll fly away ?!
• You should like this, it could have been made for you
• speak to you later
• They say love is blind ... well, the attachment probably proves it.
• Pretty good either way though, isn't it ?
• still cause for a celebration though, check out the details I attached
• This made me laugh
• Got some more stuff to tell you later but I can't stop right now
• so I'll email you later or give you a ring if thats ok ?!
• Speak to you later

Attachment: ไฟล์ที่แนบจะมีชื่ออย่างใดอย่างหนึ่งจากการสุ่มตัวอักษรในกลุ่มต่อไปนี้
tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv weafs twat rewfd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a r4354gkjw vgrewu xw54re y343rv z3vdf
โดยไฟล์แนบจะมีส่วนขยาย (นามสกุล): ดังนี้

• .pif
• .scr
• .exe
• .com
• .bat

โดยตัวหนอนจะทำการเพิ่มชื่อ อีเมล์ของเครื่องที่ติดไวรัสเข้าไปในส่วนท้ายของข้อความในจดหมาย และส่งมันออกไปตามที่อยู่ผู้รับที่ค้นได้จาก Outlook address book.
จากนั้นตัวหนอนจะคัดลอก (copy) ไฟล์ไวรัสชื่อ Karen.exe ไปยังไดเรกทอรี %WINDOW% (เช่น c:\windows\Karen.exe ) และจะเพิ่มคีย์ในเรจิสทรี เพื่อให้มีการรันไฟล์ดังกล่าวทุกครั้งที่บูตเครื่องใหม่ ดังนี้

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\Karen = %Windows%\KAREN.EXE

ถ้าหากเครื่องที่ติดไวรัสได้ติดตั้ง mIRC ไว้แล้ว ตัวหนอนจะแทรก script เข้าไปยังไดเรกทอรีของ mIRC เพื่อส่งตัวเองออกไปเมื่อมีการเรียกใช้งาน mIRC
นอกจากนี้หนอนจะค้นหาไดเรกทรอรี่ C:\inetpub\wwwroot หากพบไดเรกทรอรี่ดังกล่าวมันจะทำการสำเนาตัวเองในชื่อ Web.exe. (ไดเรกทรอรี่นี้จะพบในเครี่องที่ติดตั้งMicrosoft IIS web servers) และตัวหนอนจะแก้ชื่อไฟล์ Default.htm ไปเป็น Redesi.htm, และสร้างไฟล์ Default.htm ขึ้นมาใหม่เมื่อมีการเรียกใช้เว็บดังกล่าวก็จะปรากฏข้อความดังนี้

We Are Forever

นอกจากนี้ผู้ที่เข้าเยี่ยมชมเว็บดังกล่าวจะถูกถามว่าจะดาวน์โหลดโปรแกรมชื่อ Web.exe ซึ่งไฟล์ดังกล่าวเป็นไวรัส

วิธีป้องกันตนเองให้พ้นจากไวรัสตัวนี้

1. ให้ลบอีเมล์ที่มีรูปแบบดังกล่าวทันที
2. ห้ามรันไฟล์ (double click) ที่ไม่แน่ใจว่าเป็นไวรัสหรือไม่ ซึ่งลงท้ายด้วย .pif, .scr, .exe, .com, .bat ที่ถูกส่งผ่านมาทางอีเมลล์, IRC หรือ ICQ
3. ปรับปรุงข้อมูลของไวรัสสำหรับ anti-virus software ของท่านทันที (update virus signature)

วิธีการกำจัด
ใช้ fix tool จาก TrendMicro fix_gokar.exe fix tool

การแก้ไขเรจิสทรี

1. ทำการลบเรจิสทรีคีย์ต่อไปนี้ โดยคลิกที่ปุ่ม Start -->Run -->Regedit
   และเข้าไปยังคีย์ที่ระบุ ต่อไปนี้ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. ในช่องทางด้านขวาหากปรากฏข้อความที่ตำแหน่ง Data เป็น c:\%WINDOW%\Karen.exe ให้ลบคีย์นี้ออกจากระบบ เนื่องจากคีย์ดังกล่าวจะทำหน้าที่เรียกตัวหนอนให้ทำงานทุกครั้งที่มีการบูตระบบ
3. จากนั้นคลิกที่เมนู Registry เลือก Exit
4. ทำการบูตระบบใหม่อีกครั้ง (สำหรับ windows ME ให้ทำการ disable ฟังก์ชั่น System Restore ก่อนเสมอ)
5. ควรติดตั้งโปรแกรมสำหรับป้องกันไวรัสมาในระบบ และทำการสแกนระบบอีกครั้งหนึ่งเพื่อความปลอดภัย

หมายเหตุ การกระทำการใดๆ กับระบบเรจิสทรีมีความเสี่ยง ควรอ่านคำแนะนำอย่างละเอียด และทำสำเนาเรจิสทรีไฟล์ไว้ก่อนทุกครั้ง
*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เอกสารอ้างอิง
[1] http://www.symantec.com/avcenter/venc/data/w32.gokar.a@mm.html
[2] http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_GOKAR.A

ปรับปรุงล่าสุด : 14 ธันวาคม 2544 18.09

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์