Virus Messenger - Le ver Gaut.A se propage en impliquant des programmes de chat
Google Talk et Yahoo! Les utilisateurs de Messenger sont menacés par le ver Gaut.A.
A Gaut.A ver a enregistré un fichier de configuration à partir d'un serveur distant. Sur cette base, vous pouvez envoyer des messages et apporter d'autres modifications à la base de données d'enregistrement. Vous pourrez également télécharger vos propres mises à jour. Le ver est amovible et, en plus des lecteurs réseau, Google Talk et Yahoo! Il essaie également de se propager via Messenger.
Détails techniques:
- Créez les fichiers suivants :
% SystemDrive% \ autorun.ini
% SystemDrive% \ chrome.exe
% Windows% \ chrome.exe
C: \ WINDOWS \ Tasks \ At1.job - Crée les entrées suivantes dans la base de données d'enregistrement :
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
« Yahoo Messenger » = « C:\WINDOWS\system32\chrome.exe » - Modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows NT \
Version actuelle\Winlogon"Shell" = "Explorer.exe chrome.exe" - Ajoute les valeurs suivantes à la base de données d'inscription :
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Explorer\WorkgroupCrawler\Shares"shared" = "\Nouveau dossier.exe"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiques\Explorateur « NofolderOptions » = « 1 »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiques\Système « DisableTaskMgr » = « 1 »
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
Politiques\Système « DisableRegistryTools » = « 1 » - Modifie les valeurs de registre suivantes :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
« URL_page_par_défaut » = «[…]»
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
« URL_de_recherche_par_défaut » = « […] »
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
« Page de recherche » = « […] »
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
« Page de démarrage » =[…]
HKEY_CURRENT_USER \ Logiciel \ Microsoft \ Internet Explorer \ Principal \
« Page de démarrage » = « […] »
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
"NextAtJobId" = "2" - Il télécharge un fichier de configuration à partir d'un serveur distant et l'enregistre
En tant que% SystemDrive% \ setting.ini. - Crée un nouveau dossier.exe et un fichier autorun.inf dans le répertoire racine de chaque lecteur.
- Copie un fichier disk.txt dans le répertoire racine du lecteur C:\.
- Copie un fichier nommé New Folder.exe dans les répertoires partagés.
- Arrête le processus game_y.exe, s'il existe.
- Ferme toute fenêtre dont la barre de titre contient l'un des termes suivants :
Bkav2006
Configuration du système
Registre
Tâche Windows
[Lion de Feu]
cmd.exe - Vérifie si Google Talk ou Yahoo! Messager. Si tel est le cas, il envoie des messages contenant des liens malveillants vers les noms des listes d'adresses.