Virus Messenger - Der Gaut.A-Wurm wird über Chat-Programme verbreitet

Google Talk und Yahoo! Messenger-Benutzer werden vom Gaut.A-Wurm bedroht.

A Gaut.A Wurm hat eine Konfigurationsdatei von einem Remote-Server gespeichert. Auf dieser Basis können Sie Nachrichten versenden und weitere Änderungen an der Registrierungsdatenbank vornehmen. Sie können auch Ihre eigenen Updates herunterladen. Der Wurm ist entfernbar und neben Netzlaufwerken auch Google Talk und Yahoo! Es versucht auch, sich über Messenger zu verbreiten.

Technische Details:

1. Erstellen Sie die folgenden Dateien:
   % SystemDrive% \ autorun.ini
   % SystemDrive% \ chrome.exe
   % Windows% \ chrome.exe
   C: \ WINDOWS \ Tasks \ At1.job
2. Erstellt die folgenden Einträge in der Registrierungsdatenbank:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Run \
   "Yahoo Messenger" = "C:\WINDOWS\system32\chrome.exe"
3. Ändern Sie den folgenden Registrierungsschlüssel:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
   CurrentVersion \ Winlogon „Shell“ = „Explorer.exe chrome.exe“
4. Fügt der Registrierungsdatenbank die folgenden Werte hinzu:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
   Explorer \ WorkgroupCrawler \ Shares „shared“ = „\ New Folder.exe“
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
   Richtlinien \ Explorer „NofolderOptions“ = „1“
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
   Richtlinien \ System „DisableTaskMgr“ = „1“
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \
   Richtlinien \ System „DisableRegistryTools“ = „1“
5. Ändert die folgenden Registrierungswerte:
   HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer
   „Default_Page_URL“ = „[…]“
   HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer
   "Default_Search_URL" = "[…]"
   HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer
   „Suchseite“ = „[…]“
   HKEY_LOCAL_MACHINE SOFTWARE Microsoft Internet Explorer
   „Startseite“ = […]
   HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \
   „Startseite“ = „[…]“
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Dienste \ Zeitplan \
   „NextAtJobId“ = „2“
6. Es lädt eine Konfigurationsdatei von einem Remote-Server herunter und speichert sie
   As% SystemDrive% \ setting.ini.
7. Erstellt eine New Folder.exe- und eine autorun.inf-Datei im Stammverzeichnis jedes Laufwerks.
8. Kopiert eine disk.txt-Datei in das Stammverzeichnis von Laufwerk C:\.
9. Kopiert eine Datei namens New Folder.exe in freigegebene Verzeichnisse.
10. Stoppt den Prozess game_y.exe, falls vorhanden.
11. Schließt jedes Fenster, das einen der folgenden Begriffe in seiner Titelleiste enthält:
    Bkav2006
    Systemkonfiguration
    Registratur
    Windows Task
    [FeuerLöwe]
    cmd.exe
12. Überprüft, ob Google Talk oder Yahoo! Bote. Wenn dies der Fall ist, sendet es Nachrichten mit schädlichen Links zu den Namen in den Adresslisten.