Virus Messenger - červ Gaut.A se šíří zapojením chatovacích programů
Google Talk a Yahoo! Uživatelé Messengeru jsou ohroženi červem Gaut.A.
A Gaut A. červ uložil konfigurační soubor ze vzdáleného serveru. Na základě toho můžete odesílat zprávy a provádět další změny v registrační databázi. Budete si také moci stáhnout své vlastní aktualizace. Červ je odnímatelný a kromě síťových disků také Google Talk a Yahoo! Snaží se také šířit přes Messenger.
Technické údaje:
- Vytvořte následující soubory:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ Windows \ Tasks \ At1.job - Vytvoří následující záznamy v registrační databázi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Upravte následující klíč registru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon ”Shell” = „Explorer.exe chrome.exe” - Přidá do registrační databáze následující hodnoty:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares ”shared” = „\ New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies \ Explorer ”NofolderOptions” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies \ System ”DisableTaskMgr” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies \ System ”DisableRegistryTools” = „1” - Upravuje následující hodnoty registru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Page_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
„Stránka vyhledávání“ = „[…]“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
„Úvodní stránka“ = […]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
„Úvodní stránka“ = „[…]“
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
„NextAtJobId“ = „2“ - Stahuje konfigurační soubor ze vzdáleného serveru a uloží jej
Jako% SystemDrive% \ setting.ini. - Vytvoří soubor New Folder.exe a soubor autorun.inf v kořenovém adresáři každé jednotky.
- Zkopíruje soubor disk.txt do kořenového adresáře jednotky C: \.
- Zkopíruje soubor s názvem New Folder.exe do sdílených adresářů.
- Zastaví proces game_y.exe, pokud existuje.
- Zavře každé okno, které má v záhlaví jeden z následujících výrazů:
Bkav2006
Konfigurace systému
registr
Windows Task
[FireLion]
cmd.exe - Zkontroluje, zda Google Talk nebo Yahoo! Posel. Pokud ano, odešle zprávy se škodlivými odkazy na jména v seznamech adres.