W32.Gavgent.A

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability , описанную в Microsoft Security Bulletin MS03-50 .

При запуске W32.Gavgent.A выполняет следующие действия:

1. Создает следующие файлы:

 •	%Windir%\java\[User Name].exe 
 •	%Windir%\pif\CVT32.pif 
 •	%Windir%\Tasks\At1.job 
 •	%UserProfile%\[User Name]\Templates\
 winword.sys 
 •	%UserProfile%\[User Name]\Local Settings\
 Application Data\[User Name].exe 
 •	%UserProfile%\[User Name]\Local Settings\
 Application Data\ntsvc.exe 
 •	%UserProfile%\[User Name]\Local Settings\
 Application Data\
 INDONESIA-RAYA-INDONESIA-MERDEKA-17-AGUSTUS-1945.INF

2. Добавляет значение:

 "Vaganza-XPloit-[User Name]" = 
 3.	"%Windir%\java\[user name].exe"

в ключ реестра:

 
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
 Windows\CurrentVersion\Run

4. Добавляет значение:

 "Local-Settings-of-[User Name]" = 
 "%UserProfile%\[User Name]Local Settings\
 Application Data\[User Name].exe"

в ключ реестра:

 
 HKEY_CURRENT_USER\Software\Microsoft\
 Windows\CurrentVersion\Run  

5. Изменяет стартовую страницу в Internet Explorer:

 
 HKEY_CURRENT_USER\Software\Microsoft\
 Internet Explorer\Main\Search Page = 
 "[http://]www.indonesia.go.id/[REMOVED]?Vaganza=
 Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"

6. Загружает свою обновленную версию со следующего Web сайта и выполняет ее:

 
 [http://]merdeka.t35.com/[REMOVED]MasterVaganza.doc

Добавляет следующий текст в C:\autoexec.bat:

 
 pause

7. Добавляет задание в список задач. Пытается запускать червь ежедневно в 19:00.

8. Пытается изменить установки реестра чтобы вывести из строя системные инструменты:

 HKEY_CURRENT_USER\Software\Microsoft\Windows\
 CurrentVersion\Policies\Explorer\NoFolderOptions = "1"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\
 CurrentVersion\Policies\System\DisableTaskMgr = "1"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\
 CurrentVersion\Policies\System\DisableRegistryTools = "1"

9. Завершает работу процессов, которые могут отвечать за безопасность системы , содержащих следующий текст:

 •	NORTON 
 •	AVG 
 •	CILLIN 
 •	PANDA 
 •	NAV 
 •	MCAF 
 •	SCAN 
 •	VIRUS 
 •	PERSKY 
 •	VAKSIN 
 •	REGISTRY 
 •	TASK 
 •	JAVA 
 •	CONFIGURATION 
 •	COMMAND 
 •	CMD 
 •	CONTROL 
 •	SEARCH 
 •	BAT 
 •	INI 
 •	SYS

10. Берет email адреса из Windows Address Book, Outlook и следующих установок реестра:

 HKEY_CURRENT_USER\Software\Microsoft\
 internet Account Manager\Default Mail Account
 HKEY_CURRENT_USER\Software\Microsoft\
 internet Account Manager\Accounts\
 [Random Number]\SMTP Email Address

11. Может посылать найденные email адреса на следующий веб сайт:

 
 [http://]merdeka.t35.com/[REMOVED]VagMail.php

12. Может также создавать следующие файлы:

 
 C:\Vaganza_ox1da_Lewati_CopyMassal.txt
 C:\Vaganza_ox1da.txt

13. Может копировать следующие файлы в network shares:

 •	PHOTO FROM [User Name].G-F.scr 
 •	System.sys

14. Открывает Microsoft Paint (mspaint.exe) пытаясь скрыть свое присутствие.

15. Часто перезагружает скомпрометированный компьютер.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.