Virus Messenger - crv Gaut.Crv se širi uključivanjem programa za chat
Google Talk i Yahoo! Korisnicima Messengera prijeti crv Gaut.A.
A Gaut.A crv je spremio konfiguracijsku datoteku s udaljenog poslužitelja. Na temelju toga možete slati poruke i unositi daljnje promjene u bazu podataka o registraciji. Također ćete moći preuzeti vlastita ažuriranja. Crv je uklonjiv, a osim mrežnih pogona, Google Talk i Yahoo! Također se pokušava proširiti putem Messengera.
Tehnički detalji:
- Stvorite sljedeće datoteke:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Stvara sljedeće unose u registracijskoj bazi podataka:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
“Yahoo Messenger” = “C:\WINDOWS\system32\chrome.exe” - Izmijenite sljedeći ključ registra:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe” - U registracijsku bazu dodaje sljedeće vrijednosti:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Pravila\Explorer”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Pravila\Sustav”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Pravila\Sustav”DisableRegistryTools” = “1” - Izmjenjuje sljedeće vrijednosti registra:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“URL_zadane_stranice” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Search_URL” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Stranica za pretraživanje” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Početna stranica” =[…]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
“Početna stranica” = “[…]”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
“NextAtJobId” = “2” - Preuzima konfiguracijsku datoteku s udaljenog poslužitelja i sprema je
Kao% SystemDrive% \ setting.ini. - Stvara novu mapu.exe i datoteku autorun.inf u korijenskom direktoriju svakog pogona.
- Kopira datoteku disk.txt u korijenski direktorij pogona C: \.
- Kopira datoteku pod nazivom Nova mapa.exe u dijeljene direktorije.
- Zaustavlja postupak game_y.exe, ako postoji.
- Zatvara bilo koji prozor koji na naslovnoj traci ima jedan od sljedećih izraza:
Bkav2006
Konfiguracija sustava
registra
Zadatak sustava Windows
[vatreni lav]
cmd.exe - Provjerava jesu li Google Talk ili Yahoo! Glasnik. Ako je tako, šalje poruke sa zlonamjernim vezama do imena s popisa adresa.