W32/Guap-F

W32/Guap-F –IM и P2P червь для Windows платформ. W32/Guap-F может загружать, устанавливать и запускать любое программное обеспечение.

W32/Guap-F –IM и P2P червь для Windows платформ. W32/Guap-F может загружать, устанавливать и запускать любое программное обеспечение.

При первом запуске W32/Guap-F копирует себя в \aimplugin.exe и создает файл \hosts.

Также создаются следующие ключи реестра для автоматического запуска aimplugin.exe:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Aim Plugin
\aimplugin.exe 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Aim Plugin
\aimplugin.exe 
W32/Guap-F устанавливает следующие ключи реестра, чтобы отключить автоматический запуск другого ПО:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Start
4 
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
Start
4 
W32/Guap-F mfr: 
Червь может распространятся через следующие P2P программы:
LimeWire
eDonkey2000 

со следующими именами:

Half Life 2 FULL.exe
How to Hack.exe
Windows XP.exe
Visual Studio 2005.exe 

W32/Guap-F может также распространятся через следующие программы мгновенного обмена сообщений:

MSN Messenger
Yahoo! Instant Messenger
AOL Instant Messenger 

Отображая одно из следующих сообщений:

"lol? someone is posting with your email address on these forums?: "
"wow.. is this you? "
"found your picture! is this you? "
"haha, this guy got busted so bad.. "
"lmao i cant stop laughing at this! "
"omg... this doesnt look right at all!! " 

W32/Guap-F может загружать, устанавливать и запускать любое ПО. Также червь модифицирует HOST файл следующим образом:

127.0.2.5 www.symantec.com
127.0.2.5 symantec.com
127.0.2.5 securityresponse.symantec.com
127.0.2.5 sarc.com
127.0.2.5 www.sarc.com
127.0.2.5 www.sophos.com
127.0.2.5 sophos.com
127.0.2.5 www.mcafee.com
127.0.2.5 mcafee.com
127.0.2.5 liveupdate.symantecliveupdate.com
127.0.2.5 www.viruslist.com
127.0.2.5 viruslist.com
127.0.2.5 f-secure.com
127.0.2.5 www.f-secure.com
127.0.2.5 f-prot.com
127.0.2.5 www.f-prot.com
127.0.2.5 kaspersky.com
127.0.2.5 kaspersky-labs.com
127.0.2.5 www.avp.com
127.0.2.5 avp.com
127.0.2.5 www.kaspersky.com
127.0.2.5 www.networkassociates.com
127.0.2.5 networkassociates.com
127.0.2.5 www.ca.com
127.0.2.5 ca.com
127.0.2.5 mast.mcafee.com
127.0.2.5 my-etrust.com
127.0.2.5 www.my-etrust.com
127.0.2.5 download.mcafee.com
127.0.2.5 dispatch.mcafee.com
127.0.2.5 secure.nai.com
127.0.2.5 nai.com
127.0.2.5 www.nai.com
127.0.2.5 vil.nai.com
127.0.2.5 update.symantec.com
127.0.2.5 updates.symantec.com
127.0.2.5 us.mcafee.com
127.0.2.5 liveupdate.symantec.com
127.0.2.5 customer.symantec.com
127.0.2.5 rads.mcafee.com
127.0.2.5 trendmicro.com
127.0.2.5 www.trendmicro.com
127.0.2.5 housecall.trendmicro.com
127.0.2.5 pandasoftware.com
127.0.2.5 www.pandasoftware.com
127.0.2.5 www.trendmicro.com
127.0.2.5 free.grisoft.com
127.0.2.5 www.grisoft.com
127.0.2.5 grisoft.com
127.0.2.5 clamav.net
127.0.2.5 www.clamav.net
127.0.2.5 free-av.com
127.0.2.5 www.free-av.com
127.0.2.5 www.avast.com
127.0.2.5 avast.com
127.0.2.5 cert.org
127.0.2.5 www.cert.org
127.0.2.5 www.microsoft.com
127.0.2.5 microsoft.com
127.0.2.5 www.virustotal.com
127.0.2.5 virustotal.com
127.0.2.5 update.microsoft.com
127.0.2.5 windowsupdate.microsoft.com