Virus Messenger - Le ver Gaut.A se propage en impliquant des programmes de chat

Google Talk et Yahoo! Les utilisateurs de Messenger sont menacés par le ver Gaut.A.

A Gaut.A ver a enregistré un fichier de configuration à partir d'un serveur distant. Sur cette base, vous pouvez envoyer des messages et apporter d'autres modifications à la base de données d'enregistrement. Vous pourrez également télécharger vos propres mises à jour. Le ver est amovible et, en plus des lecteurs réseau, Google Talk et Yahoo! Il essaie également de se propager via Messenger.

Détails techniques:

1. Créez les fichiers suivants :
   % SystemDrive% \ autorun.ini
   % SystemDrive% \ chrome.exe
   % Windows% \ chrome.exe
   C: \ WINDOWS \ Tasks \ At1.job
2. Crée les entrées suivantes dans la base de données d'enregistrement :
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \
   « Yahoo Messenger » = « C:\WINDOWS\system32\chrome.exe »
3. Modifiez la clé de registre suivante :
   HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows NT \
   Version actuelle\Winlogon"Shell" = "Explorer.exe chrome.exe"
4. Ajoute les valeurs suivantes à la base de données d'inscription :
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Explorer\WorkgroupCrawler\Shares"shared" = "\Nouveau dossier.exe"
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Explorateur « NofolderOptions » = « 1 »
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Système « DisableTaskMgr » = « 1 »
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
   Politiques\Système « DisableRegistryTools » = « 1 »
5. Modifie les valeurs de registre suivantes :
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   « URL_page_par_défaut » = «[…]»
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   « URL_de_recherche_par_défaut » = « […] »
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   « Page de recherche » = « […] »
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Main \
   « Page de démarrage » =[…]
   HKEY_CURRENT_USER \ Logiciel \ Microsoft \ Internet Explorer \ Principal \
   « Page de démarrage » = « […] »
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule \
   "NextAtJobId" = "2"
6. Il télécharge un fichier de configuration à partir d'un serveur distant et l'enregistre
   En tant que% SystemDrive% \ setting.ini.
7. Crée un nouveau dossier.exe et un fichier autorun.inf dans le répertoire racine de chaque lecteur.
8. Copie un fichier disk.txt dans le répertoire racine du lecteur C:\.
9. Copie un fichier nommé New Folder.exe dans les répertoires partagés.
10. Arrête le processus game_y.exe, s'il existe.
11. Ferme toute fenêtre dont la barre de titre contient l'un des termes suivants :
    Bkav2006
    Configuration du système
    Registre
    Tâche Windows
    [Lion de Feu]
    cmd.exe
12. Vérifie si Google Talk ou Yahoo! Messager. Si tel est le cas, il envoie des messages contenant des liens malveillants vers les noms des listes d'adresses.