Virus Messenger - Gaut.A-ormen spredes ved at involvere chatprogrammer
Google Talk og Yahoo! Messenger-brugere er truet af Gaut.A-ormen.
A Gaut.A orm gemte en konfigurationsfil fra en ekstern server. Baseret på dette kan du sende beskeder og foretage yderligere ændringer i registreringsdatabasen. Du kan også downloade dine egne opdateringer. Ormen er aftagelig, og ud over netværksdrev er Google Talk og Yahoo! Det forsøger også at sprede sig gennem Messenger.
Tekniske detaljer:
- Opret følgende filer:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ Windows \ Opgaver \ At1.job - Opretter følgende poster i registreringsdatabasen:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Rediger følgende registreringsdatabasenøgle:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon ”Shell” = “Explorer.exe chrome.exe” - Føjer følgende værdier til registreringsdatabasen:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares ”shared” = “\ New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politikker \ Explorer ”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politikker \ System ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politikker \ System ”DisableRegistryTools” = “1” - Ændrer følgende registerværdier:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Page_URL" = "[...]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Søgeside” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Startside” = […]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
“Startside” = “[…]”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
"NextAtJobId" = "2" - Det downloader en konfigurationsfil fra en ekstern server og gemmer den
Som% SystemDrive% \ setting.ini. - Opretter en ny mappe.exe og en autorun.inf-fil i rodmappen på hvert drev.
- Kopierer en disk.txt-fil til rodmappen på drev C: \.
- Kopierer en fil med navnet New Folder.exe til delte mapper.
- Stopper game_y.exe-processen, hvis den findes.
- Lukker ethvert vindue, der har et af følgende udtryk i titellinjen:
Bkav2006
System Configuration
register
Windows Opgave
[Ildløve]
cmd.exe - Kontrollerer, om Google Talk eller Yahoo! Budbringer. I så fald sender den meddelelser med ondsindede links til navnene på adresselisterne.