Virus Messenger - Črv se širi z vključevanjem programov za klepet
Google Talk in Yahoo! Uporabnikom Messengerja grozi črv Gaut.A.
A Gaut.A črv je shranil konfiguracijsko datoteko z oddaljenega strežnika. Na podlagi tega lahko pošiljate sporočila in dodatno spreminjate registracijsko bazo podatkov. Prav tako boste lahko prenesli lastne posodobitve. Črv je odstranljiv in poleg omrežnih pogonov še Google Talk in Yahoo! Poskuša se razširiti tudi prek Messengerja.
Tehnične podrobnosti:
- Ustvarite naslednje datoteke:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Ustvari naslednje vnose v registracijski bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Spremenite naslednji registrski ključ:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon ”Shell” = “Explorer.exe chrome.exe” - V bazo podatkov za registracijo doda naslednje vrednosti:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares ”shared” = “\ New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Policies \ Explorer ”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politike \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politike \ System ”DisableRegistryTools” = “1” - Spremeni te vrednosti registra:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Page_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
»Iskalna stran« = »[…]«
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
»Začetna stran« = […]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
»Začetna stran« = »[…]«
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
“NextAtJobId” = “2” - Prenese konfiguracijsko datoteko z oddaljenega strežnika in jo shrani
Kot% SystemDrive% \ setting.ini. - Ustvari novo mapo.exe in datoteko autorun.inf v korenskem imeniku vsakega pogona.
- Kopira datoteko disk.txt v korenski imenik pogona C: \.
- Kopira datoteko z imenom New Folder.exe v imenike v skupni rabi.
- Zaustavi postopek game_y.exe, če obstaja.
- Zapre okno, ki ima v naslovni vrstici enega od naslednjih izrazov:
Bkav2006
Konfiguracija sistema
registra
Naloga Windows
[FireLion]
cmd.exe - Preveri, ali Google Talk ali Yahoo! Messenger. Če je tako, bo poslal sporočila z zlonamernimi povezavami na imena na seznamih naslovov.