A Google Talk és a Yahoo! Messenger felhasználóit veszélyezteti a Gaut.A féreg.

A Gaut.A féreg egy távoli szerverről egy konfigurációs állományt ment le. Ez alapján tud üzeneteket küldözgetni, és további módosításokat végezni a regisztrációs adatbázisban. Továbbá képessé válik a saját frissítéseinek letöltésére. A féreg cserélhető és hálózati meghajtókon kívül a Google Talkon és a Yahoo! Messengeren keresztül is igyekszik terjedni.

Vírushíradó - Csevegőprogramok bevonásával terjed a Gaut.A féreg

Technikai részletek:

  1. Létrehozza a következő állományokat:
    %SystemDrive%\autorun.ini
    %SystemDrive%\chrome.exe
    %Windows%\chrome.exe
    C:\WINDOWS\Tasks\At1.job
  2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
    “Yahoo Messengger” = “C:\WINDOWS\system32\chrome.exe”
  3. Módosítja a regisztrációs adatbázis alábbi kulcsát:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe”
  4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\WorkgroupCrawler\Shares”shared” = “\New Folder.exe”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\Explorer”NofolderOptions” = “1”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System”DisableTaskMgr” = “1”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Policies\System”DisableRegistryTools” = “1”
  5. Módosítja a regisztrációs adatbázis alábbi értékeit:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
    “Default_Page_URL” = “[…]”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
    “Default_Search_URL” = “[…]”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
    “Search Page” = “[…]”
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\
    “Start Page” =[…]
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
    “Start Page” = “[…]”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\
    “NextAtJobId” = “2”
  6. Letölt egy konfigurációs fájlt egy távoli szerverről, és elmenti azt
    %SystemDrive%\setting.ini néven.
  7. Minden meghajtó gyökér könyvtárába létrehoz egy New Folder.exe és egy autorun.inf állományt.
  8. A C:\ meghajtó gyökér könyvtárába bemásol egy disk.txt fájlt.
  9. A megosztott könyvtárakba bemásol egy New Folder.exe nevű állományt.
  10. Leállítja a game_y.exe folyamatot, amennyiben az létezik.
  11. Minden olyan ablakot bezár, amelyek címsorában szerepel az alábbi kifejezések valamelyike:
    Bkav2006
    System Configuration
    Registry
    Windows Task
    [FireLion]
    cmd.exe
  12. Megvizsgálja, hogy fut-e a Google Talk vagy Yahoo! Messenger. Amennyiben igen, akkor a címlistákban szereplő nevekre kártékony linket tartalmazó üzeneteket küldözget.