Červ Imaut.B útočí s novou silou

Niekoľko dní po vydaní prvého variantu červa Imaut, ktorý sa šíri prostredníctvom rýchlych poslov, sa objavila novšia verzia, ktorá používala na infekciu počítačov aj niektoré nové techniky.

Červ Imaut.B, rovnako ako jeho prvý variant, používa predovšetkým Yahoo! Messenger, AIM, Windows Live Messenger a Windows Messenger sa pokúšajú infikovať čo najviac počítačov. Posiela správy, ktoré tiež obsahujú odkaz na škodlivý web. Ak používateľ klikne na takýto odkaz, červ sa okamžite stiahne do jeho počítača. Potom vytvoríte niekoľko záznamov v registračnej databáze a potom začnete presmerovávať webové stránky. Červ tiež neustále monitoruje okná priečinka Tento počítač a Prieskumník. Imaut.B nakoniec zneprístupní Správcu úloh systému Windows a register.

Keď sa červ Imaut.B spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúci súbor:
% System% \ svchost32.exe

2. Stiahnite si súbor z internetu a uložte ho do systémového adresára Windows ako svhost.exe.

3. Registračná databáza
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
pridáva k vášmu kľúču
„Domovská stránka“ = hodnota „1“.

4. Registračná databáza
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
pridáva k vášmu kľúču
"DisableTaskMgr" = "1"
Hodnoty „DisableRegistryTools“ = „1“.

5. Registračná databáza
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
pridáva k vášmu kľúču
„Úvodná stránka“ = hodnota „[http://]tintucso.com/lu[…]“.

6. Registračná databáza
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
pridáva k vášmu kľúču
“content url” = hodnota “[http://]tintucso.com/lu[…]”.

7. Registračná databáza
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
pridáva k vášmu kľúču
“content url” = hodnota “[http://]tintucso.com/lu[…]”.

8. Registračná databáza
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
pridáva k vášmu kľúču
“Správca úloh” = “%System%\svchost32.exe”
„SVCHOST“ = hodnoty „%System%\svhost.exe“.

9. Zastaví nasledujúce procesy (ak sú spustené)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Neustále monitoruje okná, ktoré majú v záhlaví jeden z nasledujúcich textov:
my Computer
Prieskumník Windows

11. Yahoo! Snaží sa šíriť prostredníctvom programov Messenger, AIM, Windows Live Messenger a Windows Messenger.

12. Zneprístupňuje Správcu úloh systému Windows a Editor databázy Registry.