vše o počítači

Gatina-B (Win32\Gatina-B)

Typ: Červ
Varianty: Worm/Pintae.A, W32.Pintae.A@mm, W32/Sillyworm.WI,
          W32/Namuki, W32/Vanneo.B.worm
OS: MS Windows
Zákeřnost: 4 z 5
Velikost: 41 kb

Popis: Win32\Gatina-B je červem šířícím se jako příloha emailových zpráv. Tento červ je schopen blokovat některé součásti systému a bezpečnostně orientované nástroje.

Po spuštění zkopíruje Win32\Gatina-B sám sebe do následujících souborů:

    * %USERPROFILE%\Start Menu\Programs\Startup\MSKernell.bat
    * %SYSTEM%\AutoRun.bat
    * %WINDOWS%\Exit to DosPrompt.pif
    * %WINDOWS%\Mails\DATA.DOC.exe
    * %WINDOWS%\Mails\DOCUMENT.DOC.exe
    * %WINDOWS%\Mails\INFO.DOC.exe
    * %WINDOWS%\Mails\README.DOC.exe
    * %WINDOWS%\Mails\TAETAE.TXT.exe

Win32:Gatina-B následně provede několik zápisů do registrů, které zajistí spuštění programu při každém startu Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NOYPI_KANG_ASTI = "%WINDOWS%\Exit to DosPrompt.pif"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\taetae = "%WINDOWS%\Exit to DosPrompt.pif"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\TANG_INA_MO = "%SYSTEM%\AutoRun.bat"

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\taengtae = "%SYSTEM%\AutoRun.bat"            

A také několik dalších zápisů, které omezí přístup k některým částem systému

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = "1"

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind = "1"

     HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions NoFindFiles = "1"           

Win32:Gatina-B se šíří hromadným rozesíláním emailu s infikovanou přílohou na emailové adresy, které jsou uloženy v adresáři windows (Widnows Address Book). Rozesílané emaily mají následující tvar:

   1. Od (jeden z následujících)
          * astig@hotmail.com
          * noypi@pinoy.com
          * Tae@Tae.com
          * vaNNeo@viruz.com
          * victim@victim.com
          * viruz@yahoo.com
          * lady_juana_cute@hotmail.com
   2. Předmět (jeden z následujících):
          * CDO.Message
          * FILIPINO'S SECRETS
          * My Documents
          * My Victim
          * New Virus Information
          * Philippines Government Top Secret
          * TaeTae Virus Information
   3. Tělo zprávy (jedno z následujících):
          * Hi! Look the Attach Document for more details about FILIPINOS...
          * HOY! PINOY AKO! BUO AKING LOOB MAY AGIMAT AKO... FOR MORE LYRICS CHECK THE ATTACH FILE...
          * If your computer has been infected by TaeTae Virus. Open the attach file and follow the instruction to remove the virus...
          * LYRICS OF BAMBOO AND OTHER BOY BAND
          * Please read the attach file for more information about computer virus...
          * The Government of the Philippines revealed the truth. For more information please read the Attach file...
   4. Název přiloženého souboru (jeden z následujících):
          * DATA.DOC.exe
          * DOCUMENT.DOC.exe
          * INFO.DOC.exe
          * README.DOC.exe
          * TAETAE.TXT.exe

Win32:Gatina-B blokuje programy/procesy/okna z následujícího seznamu. Jedná se hlavně o části systému umožňující správu počítače a programy orientované na bezpečnost počítače.

    * Norton
    * AVP Monitor
    * Sygate Personal Firewall Pro
    * BitDefender
    * NOD32 Antivirus Program - [My Profile]
    * NOD32 Control Center
    * eTrust Antivirus - Local Scanner
    * F-Secure Anti-Virus
    * My Computer
    * Registry Monitor
    * Kaspersky Anti-Virus Monitor
    * HijackThis
    * Anti-Virus
    * BlackICE
    * Process Explorer - Sysinternals: www.sysinternals.com
    * Registry Monitor - Sysinternals: www.sysinternals.com
    * Norton AntiVirus Porfessional
    * Windows Security Center
    * Windows Firewall
    * Control Panel
    * Run"Turn Off Computer
    * Log off Windows
    * Command Prompt
    * Kaspersky Anti-Virus personal
    * AVG E-Mail Server Edition - Advanced Interface
    * AVG E-mail Server Edition - Basic Interface
    * AVG E-mail Server Edition - Control Centerr
    * Pop3trap
    * Ad-Aware SE Personal
    * Spybot - Search & Destroy
    * Sophos Anti-Virus - SWEEP
    * Anti-Trojan - Infection Monitor
    * Norton AntiVirus
    * Registry Editor
    * Windows Task Manager
    * System Configuration Utility
    * Services
    * AntiViral Toolkit Pro
    * Kaspersky Anti-Virus Scanner
    * Ad-aware 6.0 Personal
    * System Restore
    * WinPatrol

 

    * Dodatek: %WINDOWS% je zástupný symbol pro instalační složku Windows. Nejčastěji je to
          o C:\Windows (Windows 95, 98, Me, XP)
          o C:\Winnt (Windows NT, 2000)
    * %SYSTEM% je zástupný symbol pro systémovou složku. Nejčastěji je to
          o C:\Windows\System (Windows 95, 98, Me)
          o C:\Winnt\system32 (Windows NT, 2000)
          o C:\Windows\System32 (Windows XP)
    * %USERPROFILE% je zástupný symbol pro složku s uživatelským profilem, která se nejčastěji nachází v C:\Dokumenty a nastavení\[Aktualní uživatel].