Virus Messenger - The Gaut.A червей се разпространява чрез включване на програми за чат
Google Talk и Yahoo! Потребителите на Messenger са заплашени от червея Gaut.A.
A Гаут.А worm запази конфигурационен файл от отдалечен сървър. Въз основа на това можете да изпращате съобщения и да правите допълнителни промени в базата данни за регистрация. Също така ще можете да изтеглите свои собствени актуализации. Червеят е подвижен и в допълнение към мрежовите устройства Google Talk и Yahoo! Той също така се опитва да се разпространи чрез Messenger.
Технически подробности:
- Създайте следните файлове:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Създава следните записи в базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Променете следния ключ на системния регистър:
HKEY_LOCAL_MACHINE \ СОФТУЕР \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon ”Shell” = “Explorer.exe chrome.exe” - Добавя следните стойности към базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares ”shared” = “\ New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Explorer ”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Система ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Система ”DisableRegistryTools” = “1” - Променя следните стойности в системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Page_URL” = “[...]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[...]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
„Страница за търсене“ = „[...]“
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Начална страница” = [...]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
„Начална страница“ = „[...]“
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
„NextAtJobId“ = „2“ - Той изтегля конфигурационен файл от отдалечен сървър и го запазва
Като% SystemDrive% \ setting.ini. - Създава New Folder.exe и файл autorun.inf в основната директория на всяко устройство.
- Копира файл disk.txt в основната директория на устройство C: \.
- Копира файл с име New Folder.exe в споделени директории.
- Спира процеса game_y.exe, ако той съществува.
- Затваря всеки прозорец, който има един от следните термини в заглавната си лента:
Bkav2006
System Configuration
регистратура
Задача на Windows
[Огнен Лъв]
cmd.exe - Проверява дали Google Talk или Yahoo! Пратеник. Ако е така, той изпраща съобщения със злонамерени връзки към имената в списъците с адреси.
