Червь распространяется по электронной почте, IRC-каналам (Internet Relay Chat) и модифицирует стартовые страницы Web-серверов под управлением программы Internet Information Server (IIS).
"Gokar" представляет собой файл формата .EXE размером около 15 килобайт. После его запуска червь копирует себя в каталог Windows под именем KAREN.EXE и регистрирует этот файл в ключе автозапуска системного реестра:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Karen = karen.exe Таким образом "Gokar" автоматически запускается при каждой перезагрузке зараженного компьютера.
После этого начинается процесс распространения по электронной почте. Для этого червь получает доступ к адресной книге почтовой программы Microsoft Outlook и посылает свои копии по всем содержащимся в ней адресам.
Зараженные письма не имеют постоянных внешних признаков, что затрудняет их идентификацию без использования антивирусной программы.
Для рассылки по IRC-каналам "Gokar" модифицирует служебные файлы программы для работы с IRC. Таким образом, все пользователи, подключенные к тому же IRC-каналу, что и зараженный компьютер получают копию червя (файл KAREN.EXE).
Если "Gokar" удалось заразить компьютер на котором находится Web-сервер, то червь несанкционированно модифицирует его стартовую страницу. В результате, посетители Web-сайта вместо его оригинального содержимого получают предложение загрузить файл WEB.EXE, который содержит копию "Gokar".
Для дополнительной защиты червь выполняет сканирование оперативной памяти и пытается закрыть некоторые антивирусные программы.
Более подробное описание данной вредоносной программы доступно в "Вирусной Энциклопедии Касперского".
