Vírushíradó – Csevegőprogramok bevonásával terjed a Gaut.A féreg

A Google Talk és a Yahoo! Messenger felhasználóit veszélyezteti a Gaut.A féreg.

A Gaut.A féreg egy távoli szerverről egy konfigurációs állományt ment le. Ez alapján tud üzeneteket küldözgetni, és további módosításokat végezni a regisztrációs adatbázisban. Továbbá képessé válik a saját frissítéseinek letöltésére. A féreg cserélhető és hálózati meghajtókon kívül a Google Talkon és a Yahoo! Messengeren keresztül is igyekszik terjedni.

Technikai részletek:

1. Létrehozza a következő állományokat:
   %SystemDrive%\autorun.ini
   %SystemDrive%\chrome.exe
   %Windows%\chrome.exe
   C:\WINDOWS\Tasks\At1.job
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
   “Yahoo Messengger” = “C:\WINDOWS\system32\chrome.exe”
3. Módosítja a regisztrációs adatbázis alábbi kulcsát:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
   CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe”
4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\Explorer”NofolderOptions” = “1”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\System”DisableTaskMgr” = “1”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Policies\System”DisableRegistryTools” = “1”
5. Módosítja a regisztrációs adatbázis alábbi értékeit:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
   “Default_Page_URL” = “[…]”
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
   “Default_Search_URL” = “[…]”
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
   “Search Page” = “[…]”
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
   “Start Page” =[…]
   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
   “Start Page” = “[…]”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\
   “NextAtJobId” = “2”
6. Letölt egy konfigurációs fájlt egy távoli szerverről, és elmenti azt
   %SystemDrive%\setting.ini néven.
7. Minden meghajtó gyökér könyvtárába létrehoz egy New Folder.exe és egy autorun.inf állományt.
8. A C:\ meghajtó gyökér könyvtárába bemásol egy disk.txt fájlt.
9. A megosztott könyvtárakba bemásol egy New Folder.exe nevű állományt.
10. Leállítja a game_y.exe folyamatot, amennyiben az létezik.
11. Minden olyan ablakot bezár, amelyek címsorában szerepel az alábbi kifejezések valamelyike:
    Bkav2006
    System Configuration
    Registry
    Windows Task
    [FireLion]
    cmd.exe
12. Megvizsgálja, hogy fut-e a Google Talk vagy Yahoo! Messenger. Amennyiben igen, akkor a címlistákban szereplő nevekre kártékony linket tartalmazó üzeneteket küldözget.