Virus Messenger - Il worm Gaut.A si diffonde coinvolgendo programmi di chat

Google Talk e Yahoo! Gli utenti di Messenger sono minacciati dal worm Gaut.A.

A Gaut.A worm ha salvato un file di configurazione da un server remoto. Sulla base di questo, puoi inviare messaggi e apportare ulteriori modifiche al database di registrazione. Potrai anche scaricare i tuoi aggiornamenti. Il worm è rimovibile e, oltre alle unità di rete, Google Talk e Yahoo! Cerca anche di diffondersi tramite Messenger.

Dettagli tecnici:

1. Crea i seguenti file:
   % SystemDrive% \ autorun.ini
   % SystemDrive% \ chrome.exe
   % Windows% \ chrome.exe
   C: \ WINDOWS \ Tasks \ At1.job
2. Crea le seguenti voci nel database di registrazione:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Yahoo Messenger" = "C:\WINDOWS\system32\chrome.exe"
3. Modifica la seguente chiave di registro:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
   CurrentVersion\Winlogon"Shell" = "Explorer.exe chrome.exe"
4. Aggiunge i seguenti valori al database di registrazione:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Explorer\WorkgroupCrawler\Shares”condiviso” = “\Nuova cartella.exe”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiche\Explorer”NofolderOptions” = “1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiche\Sistema”DisableTaskMgr” = “1”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiche\Sistema”DisableRegistryTools” = “1”
5. Modifica i seguenti valori di registro:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   "URL_pagina_predefinita" = "[...]"
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Default_Search_URL” = “[…]”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Pagina di ricerca” = “[…]”
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   “Pagina iniziale” =[…]
   HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Principale \
   “Pagina iniziale” = “[…]”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
   "NextAtJobId" = "2"
6. Scarica un file di configurazione da un server remoto e lo salva
   As% SystemDrive% \ setting.ini.
7. Crea un nuovo Folder.exe e un file autorun.inf nella directory principale di ogni unità.
8. Copia un file disk.txt nella directory principale dell'unità C: \.
9. Copia un file denominato New Folder.exe nelle directory condivise.
10. Arresta il processo game_y.exe, se esiste.
11. Chiude qualsiasi finestra che ha uno dei seguenti termini nella barra del titolo:
    Bkav2006
    Configurazione del sistema
    registro
    Attività di Windows
    [Leone di fuoco]
    cmd.exe
12. Controlla se Google Talk o Yahoo! Messaggero. In tal caso, invia messaggi con collegamenti dannosi ai nomi negli elenchi di indirizzi.