Червь Imaut.B атакует с новой силой

Через несколько дней после выпуска первого варианта червя Imaut, распространяющегося через мессенджеры, появилась более новая версия, в которой также использовались некоторые новые методы заражения компьютеров.

Червь Imaut.B, как и его первый вариант, в основном используется Yahoo! Messenger, AIM, Windows Live Messenger и Windows Messenger пытаются заразить как можно больше компьютеров. Он отправляет сообщения, которые также содержат ссылку на вредоносный веб-сайт. Если пользователь нажимает на такую ​​ссылку, червь сразу загружается на его компьютер. Затем вы создаете несколько записей в базе данных регистрации и затем начинаете перенаправлять веб-страницы. Также червь постоянно следит за окнами «Мой компьютер» и «Проводник». Imaut.B в конечном итоге делает недоступными диспетчер задач Windows и реестр.

При запуске червь Imaut.B выполняет следующие действия:

1. Создайте следующий файл:
% System% \ svchost32.exe

2. Загрузите файл из Интернета и сохраните его в системном каталоге Windows как svhost.exe.

3. Регистрационная база данных
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Панель управления
добавляет к твоему ключу
«Домашняя страница» = значение «1».

4. Регистрационная база данных
HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
добавляет к твоему ключу
«DisableTaskMgr» = «1»
«DisableRegistryTools» = «1» значения.

5. Регистрационная база данных
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
добавляет к твоему ключу
«Начальная страница» = значение «[http://]tintucso.com/lu[…]».

6. Регистрационная база данных
HKEY_CURRENT_USER \ Программное обеспечение \ Yahoo \ pager \ View \ YMSGR_buzz
добавляет к твоему ключу
«URL-адрес контента» = значение «[http://]tintucso.com/lu[…]».

7. Регистрационная база данных
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
добавляет к твоему ключу
«URL-адрес контента» = значение «[http://]tintucso.com/lu[…]».

8. Регистрационная база данных
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к твоему ключу
«Диспетчер задач» = «%System%\svchost32.exe»
«SVCHOST» = значения «%System%\svhost.exe».

9. Останавливает следующие процессы (если они запущены)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
бдсс.exe
vsserv.exe

10. Он постоянно отслеживает окна, в заголовке которых есть один из следующих текстов:
Мой компьютер
Проводник Windows

11. Yahoo! Он пытается распространяться через Messenger, AIM, Windows Live Messenger и Windows Messenger.

12. Делает недоступными диспетчер задач Windows и редактор реестра.