Вирус Мессенгер - црв Гаут.Црв се шири укључивањем програма за ћаскање
Гоогле Талк и Иахоо! Корисницима Мессенгер-а прети црв Гаут.А.
A Гаут.А црв је сачувао конфигурациону датотеку са удаљеног сервера. На основу тога можете слати поруке и вршити даље измене у бази података регистрације. Такође ћете моћи да преузмете сопствена ажурирања. Поред преносивих и мрежних дискова, црв користи Гоогле Талк и Иахоо! Такође покушава да се прошири преко Мессенгер-а.
Технички детаљи:
- Направите следеће датотеке:
% СистемДриве% \ ауторун.ини
% СистемДриве% \ цхроме.еке
% Виндовс% \ цхроме.еке
Ц: \ ВИНДОВС \ Задаци \ Ат1.посао - Ствара следеће уносе у бази података за регистрацију:
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун \
„Иахоо Мессенгер“ = „Ц:\ВИНДОВС\систем32\цхроме.еке“ - Измените следећи кључ регистратора:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс НТ \
ЦуррентВерсион\Винлогон”Схелл” = “Екплорер.еке цхроме.еке” - У базу података за регистрацију додаје следеће вредности:
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Екплорер\ВоркгроупЦравлер\Схарес”схаред” = “\Нев Фолдер.еке”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Полициес\Екплорер”НофолдерОптионс” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Полициес\Систем”ДисаблеТаскМгр” = “1”
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \
Полициес\Систем”ДисаблеРегистриТоолс” = “1” - Мења следеће вредности регистратора:
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Интернет Екплорер \ Маин \
„Дефаулт_Паге_УРЛ“ = „[…]“
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Интернет Екплорер \ Маин \
„Дефаулт_Сеарцх_УРЛ“ = „[…]“
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Интернет Екплорер \ Маин \
„Страница за претрагу“ = „[…]“
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Интернет Екплорер \ Маин \
„Почетна страница“ =[…]
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Интернет Екплорер \ Маин \
„Почетна страница“ = „[…]“
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ Сцхедуле \
„НектАтЈобИд“ = „2“ - Он преузима конфигурациону датотеку са удаљеног сервера и чува је
Ас% СистемДриве% \ сеттинг.ини. - Креира Нев Фолдер.еке и ауторун.инф датотеку у основном директоријуму сваке диск јединице.
- Копира датотеку диск.ткт у основни директоријум диск јединице Ц: \.
- Копира датотеку под називом Нев Фолдер.еке у дељене директоријуме.
- Зауставља процес гаме_и.еке, ако постоји.
- Затвара сваки прозор који у насловној траци има један од следећих појмова:
Бкав2006
Конфигурација система
регистар
Виндовс задатак
[ФиреЛион]
цмд.еке - Проверите да ли је Гоогле Талк или Иахоо! Мессенгер. Ако јесте, слаће поруке са злонамерним везама до имена на листама адреса.