W32.Gavgent.A

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability , описанную в Microsoft Security Bulletin MS03-50.

При запуске W32.Gavgent.A выполняет следующие действия:

1. Создает следующие файлы:

•	%Windir%\java\[User Name].exe 
•	%Windir%\pif\CVT32.pif 
•	%Windir%\Tasks\At1.job 
•	%UserProfile%\[User Name]\Templates\
winword.sys 
•	%UserProfile%\[User Name]\Local Settings\
Application Data\[User Name].exe 
•	%UserProfile%\[User Name]\Local Settings\
Application Data\ntsvc.exe 
•	%UserProfile%\[User Name]\Local Settings\
Application Data\
INDONESIA-RAYA-INDONESIA-MERDEKA-17-AGUSTUS-1945.INF

2. Добавляет значение:

"Vaganza-XPloit-[User Name]" = 
3.	"%Windir%\java\[user name].exe"

в ключ реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

4. Добавляет значение:

"Local-Settings-of-[User Name]" = 
"%UserProfile%\[User Name]Local Settings\
Application Data\[User Name].exe"

в ключ реестра:


HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run  

5. Изменяет стартовую страницу в Internet Explorer:


HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\Search Page = 
"[http://]www.indonesia.go.id/[REMOVED]?Vaganza=
Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"

6. Загружает свою обновленную версию со следующего Web сайта и выполняет ее:


[http://]merdeka.t35.com/[REMOVED]MasterVaganza.doc

Добавляет следующий текст в C:\autoexec.bat:


pause

7. Добавляет задание в список задач. Пытается запускать червь ежедневно в 19:00.

8. Пытается изменить установки реестра чтобы вывести из строя системные инструменты:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\NoFolderOptions = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System\DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System\DisableRegistryTools = "1"

9. Завершает работу процессов, которые могут отвечать за безопасность системы , содержащих следующий текст:

•	NORTON 
•	AVG 
•	CILLIN 
•	PANDA 
•	NAV 
•	MCAF 
•	SCAN 
•	VIRUS 
•	PERSKY 
•	VAKSIN 
•	REGISTRY 
•	TASK 
•	JAVA 
•	CONFIGURATION 
•	COMMAND 
•	CMD 
•	CONTROL 
•	SEARCH 
•	BAT 
•	INI 
•	SYS

10. Берет email адреса из Windows Address Book, Outlook и следующих установок реестра:

HKEY_CURRENT_USER\Software\Microsoft\
internet Account Manager\Default Mail Account
HKEY_CURRENT_USER\Software\Microsoft\
internet Account Manager\Accounts\
[Random Number]\SMTP Email Address

11. Может посылать найденные email адреса на следующий веб сайт:


[http://]merdeka.t35.com/[REMOVED]VagMail.php

12. Может также создавать следующие файлы:


C:\Vaganza_ox1da_Lewati_CopyMassal.txt
C:\Vaganza_ox1da.txt

13. Может копировать следующие файлы в network shares:

•	PHOTO FROM [User Name].G-F.scr 
•	System.sys

14. Открывает Microsoft Paint (mspaint.exe) пытаясь скрыть свое присутствие.

15. Часто перезагружает скомпрометированный компьютер.