Virus Messenger - červ Gaut.A se šíří zapojením chatovacích programů

Google Talk a Yahoo! Uživatelé Messengeru jsou ohroženi červem Gaut.A.

A Gaut A. červ uložil konfigurační soubor ze vzdáleného serveru. Na základě toho můžete odesílat zprávy a provádět další změny v registrační databázi. Budete si také moci stáhnout své vlastní aktualizace. Červ je odnímatelný a kromě síťových disků také Google Talk a Yahoo! Snaží se také šířit přes Messenger.

Technické údaje:

1. Vytvořte následující soubory:
   % SystemDrive% \ autorun.ini
   % SystemDrive% \ chrome.exe
   % Windows% \ chrome.exe
   C: \ Windows \ Tasks \ At1.job
2. Vytvoří následující záznamy v registrační databázi:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe"
3. Upravte následující klíč registru:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
   CurrentVersion \ Winlogon ”Shell” = „Explorer.exe chrome.exe”
4. Přidá do registrační databáze následující hodnoty:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Explorer \ WorkgroupCrawler \ Shares ”shared” = „\ New Folder.exe”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ Explorer ”NofolderOptions” = „1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ System ”DisableTaskMgr” = „1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Policies \ System ”DisableRegistryTools” = „1”
5. Upravuje následující hodnoty registru:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   "Default_Page_URL" = "[…]"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   "Default_Search_URL" = "[…]"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   „Stránka vyhledávání“ = „[…]“
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   „Úvodní stránka“ = […]
   HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
   „Úvodní stránka“ = „[…]“
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
   „NextAtJobId“ = „2“
6. Stahuje konfigurační soubor ze vzdáleného serveru a uloží jej
   Jako% SystemDrive% \ setting.ini.
7. Vytvoří soubor New Folder.exe a soubor autorun.inf v kořenovém adresáři každé jednotky.
8. Zkopíruje soubor disk.txt do kořenového adresáře jednotky C: \.
9. Zkopíruje soubor s názvem New Folder.exe do sdílených adresářů.
10. Zastaví proces game_y.exe, pokud existuje.
11. Zavře každé okno, které má v záhlaví jeden z následujících výrazů:
    Bkav2006
    Konfigurace systému
    registr
    Windows Task
    [FireLion]
    cmd.exe
12. Zkontroluje, zda Google Talk nebo Yahoo! Posel. Pokud ano, odešle zprávy se škodlivými odkazy na jména v seznamech adres.