Üzenetküldőkön terjed a Gaut.A féreg

A Gaut.A féreg számtalan módosítást végez a Windows operációs rendszert futtató számítógépeken. Számtalan fájlt hoz létre azokon, majd jó néhány ponton módosítja a regisztrációs adatbázist. Ezzel többek között elérhetetlenné teszi a Feladatkezelőt valamint a regisztrációs adatbázis szerkesztőjét is.

A féreg egy távoli szerverről egy konfigurációs állományt ment le, amely a későbbi tevékenységével kapcsolatban tartalmaz számára információkat. Ez alapján tud üzeneteket küldözgetni, és további módosításokat végezni a regisztrációs adatbázisban. Továbbá képessé válik a saját frissítéseinek letöltésére.

A féreg Gaut.A a Google Talkon és a Yahoo! Messengeren keresztül is igyekszik terjedni. Ekkor olyan üzeneteket küldözget a címlistákban szereplő személyeknek, amelyek egy kártékony weboldalra mutató hivatkozást is tartalmaznak.

Amikor a W32.Gaut.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%\autorun.ini
%SystemDrive%\chrome.exe
%Windows%\chrome.exe
C:\WINDOWS\Tasks\At1.job

2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Yahoo Messengger" = "C:\WINDOWS\system32\chrome.exe"

3. Módosítja a regisztrációs adatbázis alábbi kulcsát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe chrome.exe"

4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shared" = "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"

5. Módosítja a regisztrációs adatbázis alábbi értékeit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Page_URL" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" =[...]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"NextAtJobId" = "2"

6. Letölt egy konfigurációs fájlt egy távoli szerverről, és elmenti azt %SystemDrive%\setting.ini néven.

7. Minden meghajtó gyökér könyvtárába létrehoz egy New Folder.exe és egy autorun.inf állományt.

8. A C meghajtó gyökér könyvtárába bemásol egy disk.txt fájlt.

9. A megosztott könyvtárakba bemásol egy New Folder.exe nevű állományt.

10. Leállítja a game_y.exe folyamatot, amennyiben az létezik.

11. Minden olyan ablakot bezár, amelyek címsorában szerepel az alábbi kifejezések valamelyike:
Bkav2006
System Configuration
Registry
Windows Task
[FireLion]
cmd.exe

12. Megvizsgálja, hogy fut-e a Google Talk vagy Yahoo! Messenger. Amennyiben igen, akkor a címlistákban szereplő nevekre kártékony linket tartalmazó üzeneteket küldözget.