 |
Theo các chuyên gia bảo mật của Symantec, F-Secure và Trend Micro, e-mail bị nhiễm virus này được gửi đến hộp thư Inbox của người dùng với rất nhiều tiêu đề và nội dung khác nhau, mà phần mở rộng là .PIF, .SCR, .EXE., .COM hoặc .BAT. Khi người dùng kích đúp vào file đính kèm có các đuôi trên, Gokar sẽ lập tức cài một chương trình mang tên Karen.exe trên hệ thống bị nhiễm và tự gửi mình tới danh sách địa chỉ trong Address box.
Công ty Symantec cho biết, Gokar cũng sử dụng chương trình chat mIRC (Internet Relay Chat) để tìm những PC bị nhiễm, và nếu tìm thấy, nó sẽ tấn công vào các máy sử dụng IRC trên cùng một kênh hội thoại đó.
Nếu hệ thống bị nhiễm là máy chủ web dùng IIS, thì con bọ này sẽ chỉnh sửa trang chủ sao cho mỗi khi người truy cập đến trang đó, đều nhận được yêu cầu download web.exe.
Virus Nimda và Code Red cũng thay đổi trang web và hướng người dùng đến dowload file tương tự như Gokar thực hiện. Nhưng khác với hai virus trên, Gokar không tự động download file đó qua trình duyệt, mà yêu cầu người dùng click vào đường link để tải nó về.
Công ty bảo mật MessagelLabs của Anh thông báo virus này có nguồn gốc từ Australia. Họ đã chặn được hơn 100 bản copy của con bọ này trong vòng 24 giờ kể từ khi nó bắt đầu lây nhiễm. Các chuyên gia đánh giá Gokar có mức nguy hiểm ngang với Goner và Sircam.
Hiện các công ty bảo mật đã kịp thời ngăn chặn những file gửi kèm có đuôi .exe., .scr. and .pif file, và khuyến cáo người dùng cập nhật phần mềm diệt virus mới.
Minh Nghĩa (theo IDG)