Virus Messenger - crv Gaut.Crv se širi uključivanjem programa za chat

Google Talk i Yahoo! Korisnicima Messengera prijeti crv Gaut.A.

A Gaut.A crv je spremio konfiguracijsku datoteku s udaljenog poslužitelja. Na temelju toga možete slati poruke i unositi daljnje promjene u bazu podataka o registraciji. Također ćete moći preuzeti vlastita ažuriranja. Crv je uklonjiv, a osim mrežnih pogona, Google Talk i Yahoo! Također se pokušava proširiti putem Messengera.

Tehnički detalji:

1. Stvorite sljedeće datoteke:
   % SystemDrive% \ autorun.ini
   % SystemDrive% \ chrome.exe
   % Windows% \ chrome.exe
   C: \ WINDOWS \ Tasks \ At1.job
2. Stvara sljedeće unose u registracijskoj bazi podataka:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   “Yahoo Messenger” = “C:\WINDOWS\system32\chrome.exe”
3. Izmijenite sljedeći ključ registra:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
   CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe”
4. U registracijsku bazu dodaje sljedeće vrijednosti:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Pravila\Explorer”NofolderOptions” = “1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Pravila\Sustav”DisableTaskMgr” = “1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Pravila\Sustav”DisableRegistryTools” = “1”
5. Izmjenjuje sljedeće vrijednosti registra:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “URL_zadane_stranice” = “[…]”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Default_Search_URL” = “[…]”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Stranica za pretraživanje” = “[…]”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Početna stranica” =[…]
   HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
   “Početna stranica” = “[…]”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
   “NextAtJobId” = “2”
6. Preuzima konfiguracijsku datoteku s udaljenog poslužitelja i sprema je
   Kao% SystemDrive% \ setting.ini.
7. Stvara novu mapu.exe i datoteku autorun.inf u korijenskom direktoriju svakog pogona.
8. Kopira datoteku disk.txt u korijenski direktorij pogona C: \.
9. Kopira datoteku pod nazivom Nova mapa.exe u dijeljene direktorije.
10. Zaustavlja postupak game_y.exe, ako postoji.
11. Zatvara bilo koji prozor koji na naslovnoj traci ima jedan od sljedećih izraza:
    Bkav2006
    Konfiguracija sustava
    registra
    Zadatak sustava Windows
    [vatreni lav]
    cmd.exe
12. Provjerava jesu li Google Talk ili Yahoo! Glasnik. Ako je tako, šalje poruke sa zlonamjernim vezama do imena s popisa adresa.