Journal du Net > Solutions >  Le virus Gokar se réplique par le web, l'email et l'IRC
Article
 
14/12/01

Le virus Gokar se réplique par le web, l'email et l'IRC

  Envoyer Imprimer  

Le virus nouveau est arrivé.

Dans le sillage de Goner (également appelé Pentagone), un ver appelé Gokar (ou KarenWorm) sévit actuellement selon des procédés de réplication similaires à ceux de son prédécesseur. Citant des répliques de films ou autres textes de chansons célèbres, les objets de l'e-mail à éviter sont multiples. Et le désormais traditionnel fichier attaché qu'il convient de ne pas exécuter a cette fois pour extension .pif, .scr, .com, .exe ou .bat. Comme Goner, Gorak semble miser sur les particuliers plus que sur les professionnels pour se répandre.

Contamination par les "chats" et les pages web
La nouvelle tendance des innombrables virus de type ver qui rivalisent depuis des mois semble bien définie :
il s'agit pour leurs auteurs d'utiliser non seulement le courrier électronique mais également les pages HTML et mainteant les discussions en temps réel (IRC, ICQ, etc.) afin de contaminer un nombre maximum d'internautes. A cet effet, l'exploitation des failles du serveur Internet Information Server (IIS) de Microsoft apportent aux apprentis sorciers un terrain de jeu propice. Mais face à l'équipement toujours plus pointu des entreprises et à la réactivité croissante des éditeurs de solutions de sécurité, les programmeurs de virus s'attaquent depuis peu aux vulnérabilités des systèmes de chat.

Si les alertes concernant Gokar ne parlent pas de réplication via un système de messagerie instantanée, celles-ci indiquent qu'un script est tout de même ajouté dans le client mIRC. Objectif : ouvrir une backdoor (porte secrète) donnant accès à l'application et transmettre le virus à tous les utilisateurs du canal IRC. D'autre part, l'infection d'un serveur web par Gokar provoque la modification de la page d'accueil, qui propose ensuite automatiquement à chaque visiteur le téléchargement d'un fichier infecté appelé Web.exe. Mais bien sûr, l'infection d'un utilisateur de PC simple déclenche avant tout l'envoi d'une copie de l'e-mail piégé à l'ensemble des contacts du carnet d'adresse Microsoft Outlook.

A la recherche d'une certaine "Karen"
En cas d'ouverture du fichier joint, le ver s'installe sous le nom de Karen.exe dans le répertoire Windows. Une fois repéré, il est d'ores et déjà possible de le supprimer en exécutant un programme fourni par F-Secure. L'alerte diffusée par cette société indique par ailleurs que le virus tente de neutraliser l'action de programmes antivirus ou autres firewalls logiciels de manière à les empêcher de fonctionner et de se mettre à jour. Quant aux entreprises, encore une fois, elles ne devraient être que très marginalement touchées dans la mesure ou les solutions de sécurité dont elles disposent auront généralement raison du virus avant même qu'il n'arrive sur un poste de travail.


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages