W32/Guap-F

W32/Guap-F –IM и P2P червь для Windows платформ. W32/Guap-F может загружать, устанавливать и запускать любое программное обеспечение.

При первом запуске W32/Guap-F копирует себя в \aimplugin.exe и создает файл \hosts.

Также создаются следующие ключи реестра для автоматического запуска aimplugin.exe:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Aim Plugin
  \aimplugin.exe 
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  Aim Plugin
  \aimplugin.exe 
  W32/Guap-F устанавливает следующие ключи реестра, чтобы отключить автоматический запуск другого ПО:
  HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
  Start
  4 
  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
  Start
  4 
  W32/Guap-F mfr: 

Червь может распространятся через следующие P2P программы:

  LimeWire
  eDonkey2000 

со следующими именами:

  Half Life 2 FULL.exe
  How to Hack.exe
  Windows XP.exe
  Visual Studio 2005.exe 

W32/Guap-F может также распространятся через следующие программы мгновенного обмена сообщений:

  MSN Messenger
  Yahoo! Instant Messenger
  AOL Instant Messenger 

Отображая одно из следующих сообщений:

  "lol? someone is posting with your email address on these forums?: "
  "wow.. is this you? "
  "found your picture! is this you? "
  "haha, this guy got busted so bad.. "
  "lmao i cant stop laughing at this! "
  "omg... this doesnt look right at all!! " 

W32/Guap-F может загружать, устанавливать и запускать любое ПО. Также червь модифицирует HOST файл следующим образом:

  127.0.2.5 www.symantec.com
  127.0.2.5 symantec.com
  127.0.2.5 securityresponse.symantec.com
  127.0.2.5 sarc.com
  127.0.2.5 www.sarc.com
  127.0.2.5 www.sophos.com
  127.0.2.5 sophos.com
  127.0.2.5 www.mcafee.com
  127.0.2.5 mcafee.com
  127.0.2.5 liveupdate.symantecliveupdate.com
  127.0.2.5 www.viruslist.com
  127.0.2.5 viruslist.com
  127.0.2.5 f-secure.com
  127.0.2.5 www.f-secure.com
  127.0.2.5 f-prot.com
  127.0.2.5 www.f-prot.com
  127.0.2.5 kaspersky.com
  127.0.2.5 kaspersky-labs.com
  127.0.2.5 www.avp.com
  127.0.2.5 avp.com
  127.0.2.5 www.kaspersky.com
  127.0.2.5 www.networkassociates.com
  127.0.2.5 networkassociates.com
  127.0.2.5 www.ca.com
  127.0.2.5 ca.com
  127.0.2.5 mast.mcafee.com
  127.0.2.5 my-etrust.com
  127.0.2.5 www.my-etrust.com
  127.0.2.5 download.mcafee.com
  127.0.2.5 dispatch.mcafee.com
  127.0.2.5 secure.nai.com
  127.0.2.5 nai.com
  127.0.2.5 www.nai.com
  127.0.2.5 vil.nai.com
  127.0.2.5 update.symantec.com
  127.0.2.5 updates.symantec.com
  127.0.2.5 us.mcafee.com
  127.0.2.5 liveupdate.symantec.com
  127.0.2.5 customer.symantec.com
  127.0.2.5 rads.mcafee.com
  127.0.2.5 trendmicro.com
  127.0.2.5 www.trendmicro.com
  127.0.2.5 housecall.trendmicro.com
  127.0.2.5 pandasoftware.com
  127.0.2.5 www.pandasoftware.com
  127.0.2.5 www.trendmicro.com
  127.0.2.5 free.grisoft.com
  127.0.2.5 www.grisoft.com
  127.0.2.5 grisoft.com
  127.0.2.5 clamav.net
  127.0.2.5 www.clamav.net
  127.0.2.5 free-av.com
  127.0.2.5 www.free-av.com
  127.0.2.5 www.avast.com
  127.0.2.5 avast.com
  127.0.2.5 cert.org
  127.0.2.5 www.cert.org
  127.0.2.5 www.microsoft.com
  127.0.2.5 microsoft.com
  127.0.2.5 www.virustotal.com
  127.0.2.5 virustotal.com
  127.0.2.5 update.microsoft.com
  127.0.2.5 windowsupdate.microsoft.com