Virus Messenger: el gusano Gaut.A se propaga mediante la participación de programas de chat
Google Talk y Yahoo! Los usuarios de Messenger están amenazados por el gusano Gaut.A.
A Gaut.A gusano guardó un archivo de configuración de un servidor remoto. En base a esto, puede enviar mensajes y realizar más cambios en la base de datos de registro. También podrá descargar sus propias actualizaciones. El gusano es extraíble y, además de las unidades de red, Google Talk y Yahoo! También intenta propagarse a través de Messenger.
Detalles técnicos:
- Cree los siguientes archivos:
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ Windows \ Tasks \ At1.job - Crea las siguientes entradas en la base de datos de registro:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
"Yahoo Messengger" = "C: \ WINDOWS \ system32 \ chrome.exe" - Modifique la siguiente clave de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon ”Shell” = “Explorer.exe chrome.exe” - Agrega los siguientes valores a la base de datos de registro:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer \ WorkgroupCrawler \ Shares ”shared” = “\ New Folder.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Políticas \ Explorer ”NofolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Políticas \ Sistema ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Políticas \ Sistema ”DisableRegistryTools” = “1” - Modifica los siguientes valores de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Page_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Default_Search_URL" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Página de búsqueda" = "[…]"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
"Página de inicio" = […]
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
"Página de inicio" = "[…]"
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
"NextAtJobId" = "2" - Descarga un archivo de configuración de un servidor remoto y lo guarda
Como% SystemDrive% \ setting.ini. - Crea un archivo New Folder.exe y autorun.inf en el directorio raíz de cada unidad.
- Copia un archivo disk.txt en el directorio raíz de la unidad C: \.
- Copia un archivo llamado New Folder.exe en directorios compartidos.
- Detiene el proceso game_y.exe, si existe.
- Cierra cualquier ventana que tenga uno de los siguientes términos en su barra de título:
bkav2006
Configuración del Sistema
registro
Tarea de Windows
[León de fuego]
cmd.exe - Comprueba si Google Talk o Yahoo! Mensajero. Si es así, envía mensajes con enlaces maliciosos a los nombres en las listas de direcciones.
