Virus Messenger - червь Gaut.A распространяется через чат-программы.
Google Talk и Yahoo! Пользователям Messenger угрожает червь Gaut.A.
A Гаут.А червь сохранил конфигурационный файл с удаленного сервера. На основании этого вы можете отправлять сообщения и вносить дальнейшие изменения в базу данных регистрации. Вы также сможете загружать свои собственные обновления. Червь является съемным и, помимо сетевых дисков, Google Talk и Yahoo! Он также пытается распространяться через Messenger.
Технические подробности:
- Создайте следующие файлы:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Создает следующие записи в базе данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Измените следующий раздел реестра:
HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon "Shell" = "Explorer.exe chrome.exe" - Добавляет следующие значения в базу данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares "shared" = "\ New Folder.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Explorer ”NofolderOptions” = «1»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Система "DisableTaskMgr" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Политики \ Система "DisableRegistryTools" = "1" - Изменяет следующие значения реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
«Default_Page_URL» = «[…]»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
«Страница поиска» = «[…]»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
«Стартовая страница» = […]
HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Internet Explorer \ Main \
«Стартовая страница» = «[…]»
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
«NextAtJobId» = «2» - Он загружает файл конфигурации с удаленного сервера и сохраняет его.
Как% SystemDrive% \ setting.ini. - Создает New Folder.exe и файл autorun.inf в корневом каталоге каждого диска.
- Копирует файл disk.txt в корневой каталог диска C: \.
- Копирует файл с именем New Folder.exe в общие каталоги.
- Останавливает процесс game_y.exe, если он существует.
- Закрывает любое окно, в строке заголовка которого есть одно из следующих условий:
Бкав2006
Конфигурация системы
реестра
Задача Windows
[Огненный лев]
cmd.exe - Проверяет, работает ли Google Talk или Yahoo! Посланник. Если это так, он отправляет сообщения с вредоносными ссылками на имена в списках адресов.
