Virus Messenger — robak Gaut.A rozprzestrzenia się za pośrednictwem programów do czatowania
Google Talk i Yahoo! Użytkownicy Messengera są zagrożeni przez robaka Gaut.A.
A Gaut.A robak zapisał plik konfiguracyjny ze zdalnego serwera. Na tej podstawie możesz wysyłać wiadomości i dokonywać dalszych zmian w bazie danych rejestracyjnych. Będziesz mógł również pobierać własne aktualizacje. Robak jest usuwalny i oprócz dysków sieciowych Google Talk i Yahoo! Próbuje również rozprzestrzeniać się za pośrednictwem Messengera.
Szczegóły techniczne:
- Utwórz następujące pliki:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ Windows \ Tasks \ At1.job - Tworzy następujące wpisy w bazie danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C:\WINDOWS\system32\chrome.exe" - Zmodyfikuj następujący klucz rejestru:
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon „Shell” = „Explorer.exe chrome.exe” - Dodaje następujące wartości do bazy danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Udziały ”shared” = „\ Nowy folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ Explorer ”NofolderOptions” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ System ”DisableTaskMgr” = „1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Zasady \ System ”DisableRegistryTools” = „1” - Modyfikuje następujące wartości rejestru:
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Internet Explorer \ Główne \
„Domyślny_URL_strony” = „[…]”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Internet Explorer \ Główne \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Internet Explorer \ Główne \
„Strona wyszukiwania” = „[…]”
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Internet Explorer \ Główne \
„Strona początkowa” = […]
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Internet Explorer \ Główne \
„Strona początkowa” = „[…]”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ Harmonogram \
„NastępnyIdZadania” = „2” - Pobiera plik konfiguracyjny ze zdalnego serwera i zapisuje go
As% SystemDrive% \ setting.ini. - Tworzy nowy folder.exe i plik autorun.inf w katalogu głównym każdego dysku.
- Kopiuje plik disk.txt do katalogu głównego dysku C: \.
- Kopiuje plik o nazwie New Folder.exe do katalogów udostępnionych.
- Zatrzymuje proces game_y.exe, jeśli istnieje.
- Zamyka każde okno, które ma na pasku tytułu jeden z następujących terminów:
Bkav2006
Konfiguracja systemu
rejestr
Zadanie Windows
[Ognisty Lew]
cmd.exe - Sprawdza, czy Google Talk lub Yahoo! Posłaniec. Jeśli tak, wysyła wiadomości ze złośliwymi linkami do nazwisk z list adresowych.
