Un nuevo gusano llamado "Gokar" comenzó a propagarse el jueves por Internet mediante correo electrónico, el programa de tertulias electrónicas mIRC y la Web, según reportaron tres empresas antivirus.

El gusano no es destructivo y no ha infectado todavía muchos sistemas, pero como cualquier gusano que se difunde masivamente por el correo electrónico, podría convertirse en un problema si los usuarios lo propagan involuntariamente. Al igual que otros gusanos de correo masivo como Anna Kournikova o Badtrans, Gokar se difunde a través de los clientes de correo electrónico Outlook y Outlook Express de Microsoft Corp., cuando un usuario hace clic sobre un adjunto enviado con el mensaje infectado, según las empresas de antivirus Symantec Corp., F-Secure Corp. y Trend Micro Inc. El correo electrónico infectado llega a las casillas del usuario con docenas de combinaciones de distintas líneas de asunto, diferentes cuerpos de mensaje y nombres de archivo, aunque cada uno de éstos termina con las extensiones .PIF, .SCR, .EXE., .COM o .BAT, dijeron las empresas.

Cuando se hace doble clic sobre el adjunto, el gusano instala un archivo llamado Karen.exe en el sistema infectado y se envía a todas las direcciones de la libreta de direcciones de la computadora. Luego el gusano se ejecuta cada vez que se reinicia la computadora infectada. Puede descubrirse si el sistema está infectado o no buscando el archivo Karen.exe.

El gusano también utiliza el programa de chat mIRC (Internet Relay Chat), dijeron las empresas. Gokar busca la aplicación mIRC y si la encuentra, intenta infectar a los usuarios de IRC que estén conectados sobre el mismo canal que el sistema infectado, siempre que se inicia la aplicación, según Trend Micro.

Finalmente, si un sistema infectado está ejecutando el software de servidor Web (IIS) de Microsoft, el gusano modificará la página Web predeterminada del sistema y ofrecerá a los usuarios que visiten el sitio la oportunidad de descargar el gusano, según F-Secure. La modificación de un sitio Web muestra una pantalla con el texto "We are Forever" e indica a los usuarios un enlace para descargar un archivo Web.exe, que contiene el gusano Gokar, según Symantec.

Los usuarios deberán revisar sobre actualizaciones de software con sus empresas antivirus. Se recomienda a las empresas bloquear los adjuntos, especialmente los archivos .exe., .scr. y .pif, en sus puertas de entrada ("gateway") de correo para evitar una infección.