Megújult erővel támad az Imaut.B féreg

Az azonnali üzenetküldőkön keresztül terjedő Imaut féreg első variánsának megjelenése után néhány nappal felbukkant egy újabb változata, amely néhány új technikát is alkalmaz a számítógépek megfertőzéséhez.

Az Imaut.B féreg hasonlóan az első variánsához elsősorban a Yahoo! Messenger, az AIM, a Windows Live Messenger valamint a Windows Messenger alkalmazások felhasználásával igyekszik minél több számítógépet megfertőzni. Olyan üzeneteket küldözget, amelyek egy kártékony weboldalra mutató hivatkozást is tartalmaznak. Amennyiben a felhasználó egy ilyen linkre kattint, akkor a féreg azonnal letöltődik a számítógépére. Ezt követően számos bejegyzést hoz létre a regisztrációs adatbázisban, majd weboldalakat kezd átirányítani. A féreg folyamatosan figyeli a Sajátgép valamint az Intéző ablakait is. Az Imaut.B végül elérhetetlenné teszi a Windows Feladatkezelőjét és a regisztrációs adatbázist.

Amikor az Imaut.B féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\svchost32.exe

2. Letölt egy fájlt az Internetről, majd elmenti azt a Windows System könyvtárába svhost.exe néven.

3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
kulcsához hozzáadja a
“Homepage” = “1” értéket.

4. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
kulcsához hozzáadja a
“DisableTaskMgr” = “1”
“DisableRegistryTools” = “1” értékeket.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
kulcsához hozzáadja a
“Start Page” = “[http://]tintucso.com/lu[…]” értéket.

6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz
kulcsához hozzáadja a
“content url” = “[http://]tintucso.com/lu[…]” értéket.

7. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Laun chcast
kulcsához hozzáadja a
“content url” = “[http://]tintucso.com/lu[…]” értéket.

8. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“Task Manager” = “%System%\svchost32.exe”
“SVCHOST” = “%System%\svhost.exe” értékeket.

9. Leállítja az alábbi folyamatokat (amennyiben azok futnak)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Folyamatosan figyeli azokat az ablakokat, amelyek címsorában az alábbi szövegek valamelyike szerepel:
My Computer
Windows Explorer

11. Yahoo! Messenger, AIM, Windows Live Messenger valamint Windows Messenger révén megpróbál terjedni.

12. Elérhetetlenné teszi a Windows Feladatkezelőjét valamint a regisztrációs adatbázis szerkesztőjét.