Virus Messenger - Il worm Gaut.A si diffonde coinvolgendo programmi di chat
Google Talk e Yahoo! Gli utenti di Messenger sono minacciati dal worm Gaut.A.
A Gaut.A worm ha salvato un file di configurazione da un server remoto. Sulla base di questo, puoi inviare messaggi e apportare ulteriori modifiche al database di registrazione. Potrai anche scaricare i tuoi aggiornamenti. Il worm è rimovibile e, oltre alle unità di rete, Google Talk e Yahoo! Cerca anche di diffondersi tramite Messenger.
Dettagli tecnici:
- Crea i seguenti file:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Crea le seguenti voci nel database di registrazione:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messenger" = "C:\WINDOWS\system32\chrome.exe" - Modifica la seguente chiave di registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion\Winlogon"Shell" = "Explorer.exe chrome.exe" - Aggiunge i seguenti valori al database di registrazione:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer\WorkgroupCrawler\Shares”condiviso” = “\Nuova cartella.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiche\Explorer”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiche\Sistema”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiche\Sistema”DisableRegistryTools” = “1” - Modifica i seguenti valori di registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"URL_pagina_predefinita" = "[...]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Search_URL” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Pagina di ricerca” = “[…]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Pagina iniziale” =[…]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Principale \
“Pagina iniziale” = “[…]”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
"NextAtJobId" = "2" - Scarica un file di configurazione da un server remoto e lo salva
As% SystemDrive% \ setting.ini. - Crea un nuovo Folder.exe e un file autorun.inf nella directory principale di ogni unità.
- Copia un file disk.txt nella directory principale dell'unità C: \.
- Copia un file denominato New Folder.exe nelle directory condivise.
- Arresta il processo game_y.exe, se esiste.
- Chiude qualsiasi finestra che ha uno dei seguenti termini nella barra del titolo:
Bkav2006
Configurazione del sistema
registro
Attività di Windows
[Leone di fuoco]
cmd.exe - Controlla se Google Talk o Yahoo! Messaggero. In tal caso, invia messaggi con collegamenti dannosi ai nomi negli elenchi di indirizzi.