Gaut es un gusano reportado el 10 de Noviembre del 2008 que se propaga a través de unidades de disco fijas, lógicas o removibles con archivos compartidos y servicios de Mensajería Instantánea.

Deshabilita funciones del sistema, modicifa el Inicio y B;usqueda del Internet Explorer, envía mensajes a contactos de IM y descarga copias de sí mismo con un enlace de descarga.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 281,551 bytes.

Al ingresar a un sistema se copia a las siguientes rutas con los nombres:

* %SystemDrive%\autorun.ini
* %SystemDrive%\chrome.exe
* %Windows%\chrome.exe

Libera el archivo:

C:\Windows\Tasks\At1.job

Para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Yahoo Messengger" = "Windows\system32\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe chrome.exe"

Para impedir la creación de una nueva carpeta crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares]
"shared" = "New Folder.exe"

Para impedir la ejecución de opciones de modificación de carpetas crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NofolderOptions" = "1"

Para deshabilitar el Administrador de Barra de Tareas:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el gestor de Herramientas de Registro crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para cambiar las páginas de Inicio y Búsqueda del Internet Explorer crea la llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL" = "http://h1.ripway.com/poojasharma2/index.html"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Search_URL" = "http://h1.ripway.com/poojasharma2/index.html"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Page" = "http://h1.ripway.com/poojasharma2/index.html"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page" = "http://h1.ripway.com/poojasharma2/index.html"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://h1.ripway.com/poojasharma2/index.html"

RIPWAY.COM es una empresa de Hosting gratuito.

Al siguiente inicio del sistema el gusano descarga el siguiente archivo:

http://h1.ripway.com

y lo guarda en la ruta:

%SystemDrive%\setting.ini

El archivo descargado ejecuta y registra la siguiente información:

* Mensajes SPAM enviados
* Modificaciones de Llaves de Registro
* Actualiza direcciones URL del gusano

Luego el gusano se copia a todas las unidades de disco fijas, lógicas y removobles, a excepción de la unidad A:

%Unidad_disco%\New Folder.exe

Para ejecutarse cada vez que se acceda a una unidad de disco crea el archivo:

%Unidad_disco%\autorun.inf

Para que exista una sola instanci del gusano crea el archivo:

C:\disk.txt

Para enumerar las carpetas compartidas copia el siguiente archivo:

[Carpeta_compartida]\New Folder.exe

El gusano termina, en caso de existir, el siguiente proceso:

game_y.exe

Cierra cualquier ventana ue tenga una de los siguientes nombres:

* Bkav2006
* System Configuration
* Registry
* Windows Task
* [FireLion]
* cmd.exe

Finalmente el gusano busca por las siguientes aplicaciones existentes en el sistema:

* Google Talk
* Yahoo! Messenger

De hallarlas, envía mensajes SPAM a los contactos de esta aplicaciones de Mensajería Intantánea:

* Now search your google in a HYBRID\DYNAMIC way...
* Hey what are you doing Please test my new webcam using private application...
* The wisest mind has something yet to learn...
* Hey Please help me to test my new cam application...
* ok
thats fine
* Waiting for you, view my private cam via secured connection...
* Happiness is not a destination. It is a method of life...
* View my private cam via secured connection...
* If you want truly to understand something, try to change it...
asl please
* I am 23 Female, Delhi (India)
and you?

El mensaje tine un enlace de descarga de una copia del gusano.