Črv Imaut.B napade z novo močjo

Nekaj ​​dni po izidu prve različice črva Imaut, ki se širi prek hitrih sporočil, se je pojavila novejša različica, ki je uporabljala tudi nekatere nove tehnike za okužbo računalnikov.

Črv Imaut.B, tako kot njegovo prvo različico, predvsem uporablja Yahoo! Messenger, AIM, Windows Live Messenger in Windows Messenger poskušajo okužiti čim več računalnikov. Pošilja sporočila, ki vsebujejo tudi povezavo do zlonamernega spletnega mesta. Če uporabnik klikne na takšno povezavo, se črv takoj prenese na njegov računalnik. Nato ustvarite številne vnose v registracijski bazi in nato začnete preusmerjati spletne strani. Črv nenehno spremlja tudi okna Mojega računalnika in Raziskovalca. Imaut.B sčasoma onemogoči upravitelja opravil Windows in register.

Ko se črv Imaut.B zažene, izvede naslednja dejanja:

1. Ustvarite naslednjo datoteko:
% System% \ svchost32.exe

2. Prenesite datoteko iz interneta in jo shranite v sistemski imenik sistema Windows kot svhost.exe.

3. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
doda vašemu ključu
»Homepage« = »1« vrednost.

4. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
doda vašemu ključu
"DisableTaskMgr" = "1"
“DisableRegistryTools” = “1” vrednosti.

5. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
doda vašemu ključu
»Začetna stran« = »[http: //] tintucso.com/lu […]«.

6. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
doda vašemu ključu
“URL vsebine” = “[http: //] tintucso.com/lu […]”.

7. Registracijska baza podatkov
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
doda vašemu ključu
“URL vsebine” = “[http: //] tintucso.com/lu […]”.

8. Registracijska baza podatkov
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
doda vašemu ključu
"Upravitelj opravil" = "% System% \ svchost32.exe"
“SVCHOST” = “% System% \ svhost.exe” vrednosti.

9. Zaustavi naslednje procese (če se izvajajo)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Neprestano spremlja okna, ki imajo v naslovni vrstici eno od naslednjih besedil:
Moj računalnik
Windows Explorer

11. Yahoo! Poskuša se razširiti prek Messengerja, AIM -a, Windows Live Messengerja in Windows Messengerja.

12. Upravljalnik opravil Windows in urejevalnik registra onemogoči.