Virus Messenger - Gaut.A 蠕虫通过聊天程序进行传播
谷歌谈话和雅虎! Messenger 用户受到 Gaut.A 蠕虫的威胁。
A 高特A 蠕虫从远程服务器保存了一个配置文件。 基于此,您可以发送消息并对注册数据库进行进一步更改。 您还可以下载自己的更新。 该蠕虫是可移动的,除了网络驱动器外,还有 Google Talk 和 Yahoo! 它还试图通过 Messenger 传播。
技术细节:
- 创建以下文件:
% SystemDrive% \ autorun.ini
%系统驱动%\chrome.exe
%视窗%\chrome.exe
C:\WINDOWS\Tasks\At1.job - 在注册数据库中创建以下条目:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
“雅虎通”=“C:\WINDOWS\system32\chrome.exe” - 修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon”Shell” = “Explorer.exe chrome.exe” - 将以下值添加到注册数据库中:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer\WorkgroupCrawler\Shares”共享”=“\新文件夹.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\资源管理器“NofolderOptions”=“1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\系统“DisableTaskMgr”=“1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
策略\系统“DisableRegistryTools”=“1” - 修改以下注册表值:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“Default_Page_URL”=“[...]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“默认搜索 URL”=“[...]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“搜索页面”=“[...]”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
“起始页”=[...]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
“起始页”=“[...]”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
“下一个工作 ID”=“2” - 它从远程服务器下载配置文件并保存
为%SystemDrive%\setting.ini。 - 在每个驱动器的根目录中创建一个 New Folder.exe 和一个 autorun.inf 文件。
- 复制一个disk.txt文件到C盘根目录:\。
- 将名为 New Folder.exe 的文件复制到共享目录。
- 停止 game_y.exe 进程(如果存在)。
- 关闭标题栏中包含以下术语之一的任何窗口:
Bkav2006
系统配置
注册表
Windows任务
[火狮]
CMD.EXE - 检查 Google Talk 或 Yahoo! 信使。 如果是这样,它会发送带有指向地址列表中名称的恶意链接的消息。
