Червеят Imaut.B атакува с нова сила

Няколко дни след пускането на първия вариант на червея Imaut, който се разпространява чрез незабавни съобщения, се появи по-нова версия, която също използва някои нови техники за заразяване на компютрите.

Червеят Imaut.B, както и първият му вариант, се използва предимно от Yahoo! Messenger, AIM, Windows Live Messenger и Windows Messenger се опитват да заразят колкото се може повече компютри. Той изпраща съобщения, които също съдържат връзка към злонамерен уебсайт. Ако потребителят щракне върху такава връзка, червеят незабавно се изтегля на компютъра си. След това създава редица записи в базата данни за регистрация и след това започва да пренасочва уеб страници. Червеят също така постоянно наблюдава прозорците на My Computer и Explorer. Imaut.B в крайна сметка прави Windows Task Manager и регистъра недостъпни.

Когато червеят Imaut.B се стартира, той изпълнява следните действия:

1. Създайте следния файл:
% System% \ svchost32.exe

2. Изтеглете файл от Интернет и го запазете в системната директория на Windows като svhost.exe.

3. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
добавя към вашия ключ
„Начална страница“ = „1“ стойност.

4. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
добавя към вашия ключ
„DisableTaskMgr“ = „1“
“DisableRegistryTools” = “1” стойности.

5. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
добавя към вашия ключ
„Начална страница“ = „[http: //] tintucso.com/lu […]“.

6. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
добавя към вашия ключ
„URL адрес на съдържанието“ = „[http: //] tintucso.com/lu […]“.

7. Базата данни за регистрация
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
добавя към вашия ключ
„URL адрес на съдържанието“ = „[http: //] tintucso.com/lu […]“.

8. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
добавя към вашия ключ
"Task Manager" = "% System% \ svchost32.exe"
“SVCHOST” = “% System% \ svhost.exe” стойности.

9. Спира следните процеси (ако те се изпълняват)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Той постоянно наблюдава прозорци, които имат един от следните текстове в заглавната лента:
My Computer
Windows Explorer

11. Yahoo! Той се опитва да се разпространи чрез Messenger, AIM, Windows Live Messenger и Windows Messenger.

12. Прави диспечера на задачите на Windows и редактора на системния регистър недостъпни.