Robak Imaut.B atakuje z nową energią

Kilka dni po wydaniu pierwszego wariantu robaka Imaut, który rozprzestrzenia się za pośrednictwem komunikatorów internetowych, pojawiła się nowsza wersja, która również wykorzystywała nowe techniki do infekowania komputerów.

Robak Imaut.B, podobnie jak jego pierwszy wariant, jest używany głównie przez Yahoo! Messenger, AIM, Windows Live Messenger i Windows Messenger próbują zainfekować jak najwięcej komputerów. Wysyła wiadomości, które zawierają również łącze do złośliwej witryny. Jeśli użytkownik kliknie taki link, robak zostanie natychmiast pobrany na jego komputer. Następnie tworzy szereg wpisów w bazie danych rejestracyjnych, a następnie zaczyna przekierowywać strony internetowe. Robak stale monitoruje również okna Mojego komputera i Eksploratora. Imaut.B ostatecznie uniemożliwia dostęp do Menedżera zadań systemu Windows i rejestru.

Po uruchomieniu robak Imaut.B wykonuje następujące czynności:

1. Utwórz następujący plik:
% System% \ svchost32.exe

2. Pobierz plik z Internetu i zapisz go w katalogu systemu Windows jako svhost.exe.

3. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
dodaje do twojego klucza
„Strona główna” = wartość „1”.

4. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
dodaje do twojego klucza
„Wyłącz Menedżera Zadań” = „1”
„DisableRegistryTools” = „1” wartości.

5. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
dodaje do twojego klucza
„Strona początkowa” = „[http: //] tintucso.com/lu […]”.

6. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Oprogramowanie \ Yahoo \ pager \ Widok \ YMSGR_buzz
dodaje do twojego klucza
„Adres URL treści” = „[http: //] tintucso.com/lu […]”.

7. Baza danych rejestracyjnych
HKEY_CURRENT_USER \ Oprogramowanie \ Yahoo \ pager \ Widok \ YMSGR_Laun chcast
dodaje do twojego klucza
„Adres URL treści” = „[http: //] tintucso.com/lu […]”.

8. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ Oprogramowanie \ Microsoft \ Windows \ Bieżąca wersja \ Run
dodaje do twojego klucza
"Menedżer zadań" = "% System% \ svchost32.exe"
„SVCHOST” = wartości „% System% \ svhost.exe”.

9. Zatrzymuje następujące procesy (jeśli są uruchomione)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Stale monitoruje okna, które mają jeden z następujących tekstów na pasku tytułu:
Mój komputer
Windows Explorer

11. Yahoo! Próbuje rozprzestrzeniać się przez Messenger, AIM, Windows Live Messenger i Windows Messenger.

12. Sprawia, że ​​Menedżer zadań i Edytor rejestru systemu Windows są niedostępne.