W32.Gavgent.A
W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability
При запуске W32.Gavgent.A выполняет следующие действия:
1. Создает следующие файлы:
• %Windir%\java\[User Name].exe • %Windir%\pif\CVT32.pif • %Windir%\Tasks\At1.job • %UserProfile%\[User Name]\Templates\ winword.sys • %UserProfile%\[User Name]\Local Settings\ Application Data\[User Name].exe • %UserProfile%\[User Name]\Local Settings\ Application Data\ntsvc.exe • %UserProfile%\[User Name]\Local Settings\ Application Data\ INDONESIA-RAYA-INDONESIA-MERDEKA-17-AGUSTUS-1945.INF
2. Добавляет значение:
"Vaganza-XPloit-[User Name]" = 3. "%Windir%\java\[user name].exe"
в ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
4. Добавляет значение:
"Local-Settings-of-[User Name]" = "%UserProfile%\[User Name]Local Settings\ Application Data\[User Name].exe"
в ключ реестра:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
5. Изменяет стартовую страницу в Internet Explorer:
HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main\Search Page = "[http://]www.indonesia.go.id/[REMOVED]?Vaganza= Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"
6. Загружает свою обновленную версию со следующего Web сайта и выполняет ее:
[http://]merdeka.t35.com/[REMOVED]MasterVaganza.doc
Добавляет следующий текст в C:\autoexec.bat:
pause
7. Добавляет задание в список задач. Пытается запускать червь ежедневно в 19:00.
8. Пытается изменить установки реестра чтобы вывести из строя системные инструменты:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer\NoFolderOptions = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\DisableTaskMgr = "1" HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System\DisableRegistryTools = "1"
9. Завершает работу процессов, которые могут отвечать за безопасность системы , содержащих следующий текст:
• NORTON • AVG • CILLIN • PANDA • NAV • MCAF • SCAN • VIRUS • PERSKY • VAKSIN • REGISTRY • TASK • JAVA • CONFIGURATION • COMMAND • CMD • CONTROL • SEARCH • BAT • INI • SYS
10. Берет email адреса из Windows Address Book, Outlook и следующих установок реестра:
HKEY_CURRENT_USER\Software\Microsoft\ internet Account Manager\Default Mail Account HKEY_CURRENT_USER\Software\Microsoft\ internet Account Manager\Accounts\ [Random Number]\SMTP Email Address
11. Может посылать найденные email адреса на следующий веб сайт:
[http://]merdeka.t35.com/[REMOVED]VagMail.php
12. Может также создавать следующие файлы:
C:\Vaganza_ox1da_Lewati_CopyMassal.txt C:\Vaganza_ox1da.txt
13. Может копировать следующие файлы в network shares:
• PHOTO FROM [User Name].G-F.scr • System.sys
14. Открывает Microsoft Paint (mspaint.exe) пытаясь скрыть свое присутствие.
15. Часто перезагружает скомпрометированный компьютер.