Virus Messenger - Červ Gaut.A sa šíri zapojením chatovacích programov
Google Talk a Yahoo! Používateľom Messengera hrozí červ Gaut.A.
A Gaut A. červ uložil konfiguračný súbor zo vzdialeného servera. Na základe toho môžete odosielať správy a vykonávať ďalšie zmeny v registračnej databáze. Budete si tiež môcť stiahnuť svoje vlastné aktualizácie. Červ je odnímateľný a okrem sieťových diskov aj Google Talk a Yahoo! Snaží sa to šíriť aj cez Messenger.
Technické detaily:
- Vytvorte nasledujúce súbory:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Vytvorí nasledujúce položky v registračnej databáze:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
„Yahoo Messenger“ = „C:\WINDOWS\system32\chrome.exe“ - Upravte nasledujúci kľúč databázy Registry:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe” - Do registračnej databázy pridá nasledujúce hodnoty:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zásady\Explorer”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zásady\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zásady\System”DisableRegistryTools” = “1” - Upravuje nasledujúce hodnoty registra:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Page_URL” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Search_URL” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
„Stránka vyhľadávania“ = „[…]“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
„Úvodná stránka“ =[…]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
„Úvodná stránka“ = „[…]“
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
„NextAtJobId“ = „2“ - Prevezme konfiguračný súbor zo vzdialeného servera a uloží ho
Ako% SystemDrive% \ setting.ini. - Vytvorí nový priečinok.exe a súbor autorun.inf v koreňovom adresári každej jednotky.
- Skopíruje súbor disk.txt do koreňového adresára jednotky C: \.
- Skopíruje súbor s názvom New Folder.exe do zdieľaných adresárov.
- Zastaví proces game_y.exe, ak existuje.
- Zatvorí každé okno, ktoré má v záhlaví jeden z nasledujúcich výrazov:
Bkav2006
Konfigurácia systému
register
Úloha systému Windows
[FireLion]
cmd.exe - Kontroluje, či je Google Talk alebo Yahoo! Messenger. Ak je to tak, bude odosielať správy so škodlivými odkazmi na mená v zoznamoch adries.