Vælg side

Virus Messenger - Gaut.A-ormen spredes ved at involvere chatprogrammer

Skrevet af: | 2008. november 10 | | 0 |

Google Talk og Yahoo! Messenger-brugere er truet af Gaut.A-ormen.

A Gaut.A orm gemte en konfigurationsfil fra en ekstern server. Baseret på dette kan du sende beskeder og foretage yderligere ændringer i registreringsdatabasen. Du kan også downloade dine egne opdateringer. Ormen er aftagelig, og ud over netværksdrev er Google Talk og Yahoo! Det forsøger også at sprede sig gennem Messenger.

Virus Messenger - Gaut.A ormen spredes ved at involvere chatprogrammer

Tekniske detaljer:

  1. Opret følgende filer:
    % SystemDrive% \ autorun.ini
    % SystemDrive% \ chrome.exe
    % Windows% \ chrome.exe
    C: \ Windows \ Opgaver \ At1.job
  2. Opretter følgende poster i registreringsdatabasen:
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
    "Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe"
  3. Rediger følgende registreringsdatabasenøgle:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
    CurrentVersion \ Winlogon ”Shell” = “Explorer.exe chrome.exe”
  4. Føjer følgende værdier til registreringsdatabasen:
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
    Explorer \ WorkgroupCrawler \ Shares ”shared” = “\ New Folder.exe”
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
    Politikker \ Explorer ”NofolderOptions” = “1”
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
    Politikker \ System ”DisableTaskMgr” = “1”
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
    Politikker \ System ”DisableRegistryTools” = “1”
  5. Ændrer følgende registerværdier:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
    "Default_Page_URL" = "[...]"
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
    "Default_Search_URL" = "[…]"
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
    “Søgeside” = “[…]”
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
    “Startside” = […]
    HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
    “Startside” = “[…]”
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
    "NextAtJobId" = "2"
  6. Det downloader en konfigurationsfil fra en ekstern server og gemmer den
    Som% SystemDrive% \ setting.ini.
  7. Opretter en ny mappe.exe og en autorun.inf-fil i rodmappen på hvert drev.
  8. Kopierer en disk.txt-fil til rodmappen på drev C: \.
  9. Kopierer en fil med navnet New Folder.exe til delte mapper.
  10. Stopper game_y.exe-processen, hvis den findes.
  11. Lukker ethvert vindue, der har et af følgende udtryk i titellinjen:
    Bkav2006
    System Configuration
    register
    Windows Opgave
    [Ildløve]
    cmd.exe
  12. Kontrollerer, om Google Talk eller Yahoo! Budbringer. I så fald sender den meddelelser med ondsindede links til navnene på adresselisterne.
Læsning: 1

Måle:

Om forfatteren

Clingers

Relaterede indlæg

Zombier kommer til Linux!

Zombier kommer til Linux!

2013-04-29

Hvad er nyt i Google+

Hvad er nyt i Google+

2011-11-04

Hvilken er den mest sikre browser?

Hvilken er den mest sikre browser?

2011-08-27

Format Factory 2.95 er frigivet

Format Factory 2.95 er frigivet

2012-04-11

banner

KøbBestGear

Ad

ranvee

Ranvee Hvidevarer