Security Lab

W32.Gavgent.A

W32.Gavgent.A

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability

W32.Gavgent.A - это сетевой червь, который часто перезагружает скомпрометированный компьютер. Червь эксплуатирует уязвимость Microsoft Word Macro Name Handler Buffer Overflow Vulnerability , описанную в Microsoft Security Bulletin MS03-50 .

При запуске W32.Gavgent.A выполняет следующие действия:

1. Создает следующие файлы:

  •	%Windir%\java\[User Name].exe 
  •	%Windir%\pif\CVT32.pif 
  •	%Windir%\Tasks\At1.job 
  •	%UserProfile%\[User Name]\Templates\
  winword.sys 
  •	%UserProfile%\[User Name]\Local Settings\
  Application Data\[User Name].exe 
  •	%UserProfile%\[User Name]\Local Settings\
  Application Data\ntsvc.exe 
  •	%UserProfile%\[User Name]\Local Settings\
  Application Data\
  INDONESIA-RAYA-INDONESIA-MERDEKA-17-AGUSTUS-1945.INF

2. Добавляет значение:

  "Vaganza-XPloit-[User Name]" = 
  3.	"%Windir%\java\[user name].exe"

в ключ реестра:

  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
  Windows\CurrentVersion\Run

4. Добавляет значение:

  "Local-Settings-of-[User Name]" = 
  "%UserProfile%\[User Name]Local Settings\
  Application Data\[User Name].exe"

в ключ реестра:

  
  HKEY_CURRENT_USER\Software\Microsoft\
  Windows\CurrentVersion\Run  

5. Изменяет стартовую страницу в Internet Explorer:

  
  HKEY_CURRENT_USER\Software\Microsoft\
  Internet Explorer\Main\Search Page = 
  "[http://]www.indonesia.go.id/[REMOVED]?Vaganza=
  Dirgahayu-Indonesia-17-Agustus-MERDEKA!!!"

6. Загружает свою обновленную версию со следующего Web сайта и выполняет ее:

  
  [http://]merdeka.t35.com/[REMOVED]MasterVaganza.doc

Добавляет следующий текст в C:\autoexec.bat:

  
  pause

7. Добавляет задание в список задач. Пытается запускать червь ежедневно в 19:00.

8. Пытается изменить установки реестра чтобы вывести из строя системные инструменты:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Policies\Explorer\NoFolderOptions = "1"
  HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Policies\System\DisableTaskMgr = "1"
  HKEY_CURRENT_USER\Software\Microsoft\Windows\
  CurrentVersion\Policies\System\DisableRegistryTools = "1"

9. Завершает работу процессов, которые могут отвечать за безопасность системы , содержащих следующий текст:

  •	NORTON 
  •	AVG 
  •	CILLIN 
  •	PANDA 
  •	NAV 
  •	MCAF 
  •	SCAN 
  •	VIRUS 
  •	PERSKY 
  •	VAKSIN 
  •	REGISTRY 
  •	TASK 
  •	JAVA 
  •	CONFIGURATION 
  •	COMMAND 
  •	CMD 
  •	CONTROL 
  •	SEARCH 
  •	BAT 
  •	INI 
  •	SYS

10. Берет email адреса из Windows Address Book, Outlook и следующих установок реестра:

  HKEY_CURRENT_USER\Software\Microsoft\
  internet Account Manager\Default Mail Account
  HKEY_CURRENT_USER\Software\Microsoft\
  internet Account Manager\Accounts\
  [Random Number]\SMTP Email Address

11. Может посылать найденные email адреса на следующий веб сайт:

  
  [http://]merdeka.t35.com/[REMOVED]VagMail.php

12. Может также создавать следующие файлы:

  
  C:\Vaganza_ox1da_Lewati_CopyMassal.txt
  C:\Vaganza_ox1da.txt

13. Может копировать следующие файлы в network shares:

  •	PHOTO FROM [User Name].G-F.scr 
  •	System.sys

14. Открывает Microsoft Paint (mspaint.exe) пытаясь скрыть свое присутствие.

15. Часто перезагружает скомпрометированный компьютер.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!