W32/Guap-F

W32/Guap-F –IM и P2P червь для Windows платформ. W32/Guap-F может загружать, устанавливать и запускать любое программное обеспечение.

W32/Guap-F –IM и P2P червь для Windows платформ. W32/Guap-F может загружать, устанавливать и запускать любое программное обеспечение.

При первом запуске W32/Guap-F копирует себя в \aimplugin.exe и создает файл \hosts.

Также создаются следующие ключи реестра для автоматического запуска aimplugin.exe:

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 Aim Plugin
 \aimplugin.exe 
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 Aim Plugin
 \aimplugin.exe 
 W32/Guap-F устанавливает следующие ключи реестра, чтобы отключить автоматический запуск другого ПО:
 HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
 Start
 4 
 HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
 Start
 4 
 W32/Guap-F mfr: 
Червь может распространятся через следующие P2P программы:
 LimeWire
 eDonkey2000 

со следующими именами:

 Half Life 2 FULL.exe
 How to Hack.exe
 Windows XP.exe
 Visual Studio 2005.exe 

W32/Guap-F может также распространятся через следующие программы мгновенного обмена сообщений:

 MSN Messenger
 Yahoo! Instant Messenger
 AOL Instant Messenger 

Отображая одно из следующих сообщений:

 "lol? someone is posting with your email address on these forums?: "
 "wow.. is this you? "
 "found your picture! is this you? "
 "haha, this guy got busted so bad.. "
 "lmao i cant stop laughing at this! "
 "omg... this doesnt look right at all!! " 

W32/Guap-F может загружать, устанавливать и запускать любое ПО. Также червь модифицирует HOST файл следующим образом:

 127.0.2.5 www.symantec.com
 127.0.2.5 symantec.com
 127.0.2.5 securityresponse.symantec.com
 127.0.2.5 sarc.com
 127.0.2.5 www.sarc.com
 127.0.2.5 www.sophos.com
 127.0.2.5 sophos.com
 127.0.2.5 www.mcafee.com
 127.0.2.5 mcafee.com
 127.0.2.5 liveupdate.symantecliveupdate.com
 127.0.2.5 www.viruslist.com
 127.0.2.5 viruslist.com
 127.0.2.5 f-secure.com
 127.0.2.5 www.f-secure.com
 127.0.2.5 f-prot.com
 127.0.2.5 www.f-prot.com
 127.0.2.5 kaspersky.com
 127.0.2.5 kaspersky-labs.com
 127.0.2.5 www.avp.com
 127.0.2.5 avp.com
 127.0.2.5 www.kaspersky.com
 127.0.2.5 www.networkassociates.com
 127.0.2.5 networkassociates.com
 127.0.2.5 www.ca.com
 127.0.2.5 ca.com
 127.0.2.5 mast.mcafee.com
 127.0.2.5 my-etrust.com
 127.0.2.5 www.my-etrust.com
 127.0.2.5 download.mcafee.com
 127.0.2.5 dispatch.mcafee.com
 127.0.2.5 secure.nai.com
 127.0.2.5 nai.com
 127.0.2.5 www.nai.com
 127.0.2.5 vil.nai.com
 127.0.2.5 update.symantec.com
 127.0.2.5 updates.symantec.com
 127.0.2.5 us.mcafee.com
 127.0.2.5 liveupdate.symantec.com
 127.0.2.5 customer.symantec.com
 127.0.2.5 rads.mcafee.com
 127.0.2.5 trendmicro.com
 127.0.2.5 www.trendmicro.com
 127.0.2.5 housecall.trendmicro.com
 127.0.2.5 pandasoftware.com
 127.0.2.5 www.pandasoftware.com
 127.0.2.5 www.trendmicro.com
 127.0.2.5 free.grisoft.com
 127.0.2.5 www.grisoft.com
 127.0.2.5 grisoft.com
 127.0.2.5 clamav.net
 127.0.2.5 www.clamav.net
 127.0.2.5 free-av.com
 127.0.2.5 www.free-av.com
 127.0.2.5 www.avast.com
 127.0.2.5 avast.com
 127.0.2.5 cert.org
 127.0.2.5 www.cert.org
 127.0.2.5 www.microsoft.com
 127.0.2.5 microsoft.com
 127.0.2.5 www.virustotal.com
 127.0.2.5 virustotal.com
 127.0.2.5 update.microsoft.com
 127.0.2.5 windowsupdate.microsoft.com 
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.