Win32:Gatina-B

Win32:Gatina-B je červem šířícím se jako příloha emailových zpráv. Tento červ je schopen blokovat některé součásti systému a bezpečnostně orientované nástroje.

Základní informace
Typ Worm
Aliasy Worm/Pintae.A, W32.Pintae.A@mm, W32/Sillyworm.WI,
W32/Namuki, W32/Vanneo.B.worm
Verze VPS 12. února 2007 (0712-7)
Platforma Windows
Velikost souboru 40,960 bajtů

Popis

Po spuštění zkopíruje Win32:Gatina-B sám sebe do následujících souborů:

  • %USERPROFILE%\Start Menu\Programs\Startup\MSKernell.bat
  • %SYSTEM%\AutoRun.bat
  • %WINDOWS%\Exit to DosPrompt.pif
  • %WINDOWS%\Mails\DATA.DOC.exe
  • %WINDOWS%\Mails\DOCUMENT.DOC.exe
  • %WINDOWS%\Mails\INFO.DOC.exe
  • %WINDOWS%\Mails\README.DOC.exe
  • %WINDOWS%\Mails\TAETAE.TXT.exe

Win32:Gatina-B následně provede několik zápisů do registrů, které zajistí spuštění programu při každém startu Windows. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NOYPI_KANG_ASTI = "%WINDOWS%\Exit to DosPrompt.pif"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\taetae = "%WINDOWS%\Exit to DosPrompt.pif"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\TANG_INA_MO = "%SYSTEM%\AutoRun.bat"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\taengtae = "%SYSTEM%\AutoRun.bat"

A také několik dalších zápisů, které omezí přístup k některým částem systému 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind = "1"

     HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions NoFindFiles = "1"

Win32:Gatina-B se šíří hromadným rozesíláním emailu s infikovanou přílohou na emailové adresy, které jsou uloženy v adresáři windows (Widnows Address Book). Rozesílané emaily mají následující tvar:

  1. Od (jeden z následujících)
    • astig@hotmail.com
    • noypi@pinoy.com
    • Tae@Tae.com
    • vaNNeo@viruz.com
    • victim@victim.com
    • viruz@yahoo.com
    • lady_juana_cute@hotmail.com
  2. Předmět (jeden z následujících):
    • CDO.Message
    • FILIPINO'S SECRETS
    • My Documents
    • My Victim
    • New Virus Information
    • Philippines Government Top Secret
    • TaeTae Virus Information
  3. Tělo zprávy (jedno z následujících):
    • Hi! Look the Attach Document for more details about FILIPINOS...
    • HOY! PINOY AKO! BUO AKING LOOB MAY AGIMAT AKO... FOR MORE LYRICS CHECK THE ATTACH FILE...
    • If your computer has been infected by TaeTae Virus. Open the attach file and follow the instruction to remove the virus...
    • LYRICS OF BAMBOO AND OTHER BOY BAND
    • Please read the attach file for more information about computer virus...
    • The Government of the Philippines revealed the truth. For more information please read the Attach file...
  4. Název přiloženého souboru (jeden z následujících):
    • DATA.DOC.exe
    • DOCUMENT.DOC.exe
    • INFO.DOC.exe
    • README.DOC.exe
    • TAETAE.TXT.exe

Win32:Gatina-B blokuje programy/procesy/okna z následujícího seznamu. Jedná se hlavně o části systému umožňující správu počítače a programy orientované na bezpečnost počítače.

  • Norton
  • AVP Monitor
  • Sygate Personal Firewall Pro
  • BitDefender
  • NOD32 Antivirus Program - [My Profile]
  • NOD32 Control Center
  • eTrust Antivirus - Local Scanner
  • F-Secure Anti-Virus
  • My Computer
  • Registry Monitor
  • Kaspersky Anti-Virus Monitor
  • HijackThis
  • Anti-Virus
  • BlackICE
  • Process Explorer - Sysinternals: www.sysinternals.com
  • Registry Monitor - Sysinternals: www.sysinternals.com
  • Norton AntiVirus Porfessional
  • Windows Security Center
  • Windows Firewall
  • Control Panel
  • Run"Turn Off Computer
  • Log off Windows
  • Command Prompt
  • Kaspersky Anti-Virus personal
  • AVG E-Mail Server Edition - Advanced Interface
  • AVG E-mail Server Edition - Basic Interface
  • AVG E-mail Server Edition - Control Centerr
  • Pop3trap
  • Ad-Aware SE Personal
  • Spybot - Search & Destroy
  • Sophos Anti-Virus - SWEEP
  • Anti-Trojan - Infection Monitor
  • Norton AntiVirus
  • Registry Editor
  • Windows Task Manager
  • System Configuration Utility
  • Services
  • AntiViral Toolkit Pro
  • Kaspersky Anti-Virus Scanner
  • Ad-aware 6.0 Personal
  • System Restore
  • WinPatrol

 

    Dodatek:
  • %WINDOWS% je zástupný symbol pro instalační složku Windows. Nejčastěji je to
    • C:\Windows (Windows 95, 98, Me, XP)
    • C:\Winnt (Windows NT, 2000)
  • %SYSTEM% je zástupný symbol pro systémovou složku. Nejčastěji je to
    • C:\Windows\System (Windows 95, 98, Me)
    • C:\Winnt\system32 (Windows NT, 2000)
    • C:\Windows\System32 (Windows XP)
  • %USERPROFILE% je zástupný symbol pro složku s uživatelským profilem, která se nejčastěji nachází v C:\Dokumenty a nastavení\[Aktualní uživatel].

Detekce/Odstranění

avast! s VPS souborem 0712-7 nebo novějším, datovaným od 12. února 2007, je schopen detekovat a odstranit tohoto červa.

Viry
Hlášení o viru Viry in the Wild Souhrn z hlášení Windows viry Starší windows viry 2002 Starší windows viry 2001 Starší windows viry 2000 Script viry Macro viry Testovací soubor EICAR Historie VPS
Zasílání informací
informace o standardní VPS
avast! Home Registration
avast! 4 Home for free non-commercial use free - link to registration page
Home pageWeb site mapPrint this pagePrivacy policy
Copyright © 1988 - 2008 ALWIL Software a.s.
Domovská stránka
Viry  windows viry  Win32:Gatina-B