Vírushíradó – Csevegőprogramok bevonásával terjed a Gaut.A féreg
A Google Talk és a Yahoo! Messenger felhasználóit veszélyezteti a Gaut.A féreg.
A Gaut.A féreg egy távoli szerverről egy konfigurációs állományt ment le. Ez alapján tud üzeneteket küldözgetni, és további módosításokat végezni a regisztrációs adatbázisban. Továbbá képessé válik a saját frissítéseinek letöltésére. A féreg cserélhető és hálózati meghajtókon kívül a Google Talkon és a Yahoo! Messengeren keresztül is igyekszik terjedni.
Technikai részletek:
- Létrehozza a következő állományokat:
%SystemDrive%\autorun.ini
%SystemDrive%\chrome.exe
%Windows%\chrome.exe
C:\WINDOWS\Tasks\At1.job - A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“Yahoo Messengger” = “C:\WINDOWS\system32\chrome.exe” - Módosítja a regisztrációs adatbázis alábbi kulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe” - A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer”NofolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System”DisableRegistryTools” = “1” - Módosítja a regisztrációs adatbázis alábbi értékeit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
“Default_Page_URL” = “[…]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
“Default_Search_URL” = “[…]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
“Search Page” = “[…]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
“Start Page” =[…]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
“Start Page” = “[…]”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\
“NextAtJobId” = “2” - Letölt egy konfigurációs fájlt egy távoli szerverről, és elmenti azt
%SystemDrive%\setting.ini néven. - Minden meghajtó gyökér könyvtárába létrehoz egy New Folder.exe és egy autorun.inf állományt.
- A C:\ meghajtó gyökér könyvtárába bemásol egy disk.txt fájlt.
- A megosztott könyvtárakba bemásol egy New Folder.exe nevű állományt.
- Leállítja a game_y.exe folyamatot, amennyiben az létezik.
- Minden olyan ablakot bezár, amelyek címsorában szerepel az alábbi kifejezések valamelyike:
Bkav2006
System Configuration
Registry
Windows Task
[FireLion]
cmd.exe - Megvizsgálja, hogy fut-e a Google Talk vagy Yahoo! Messenger. Amennyiben igen, akkor a címlistákban szereplő nevekre kártékony linket tartalmazó üzeneteket küldözget.