Imaut.B ormen angriber med fornyet kraft

Et par dage efter udgivelsen af ​​den første variant af Imaut -ormen, der spreder sig via instant messengers, dukkede en nyere version op, der også brugte nogle nye teknikker til at inficere computere.

Imaut.B-ormen, som sin første variant, bruges primært af Yahoo! Messenger, AIM, Windows Live Messenger og Windows Messenger forsøger at inficere så mange computere som muligt. Det sender beskeder, der også indeholder et link til et ondsindet websted. Hvis brugeren klikker på et sådant link, downloades ormen straks til deres computer. Du opretter derefter et antal poster i registreringsdatabasen og begynder derefter at omdirigere websider. Ormen overvåger også konstant vinduerne i Denne computer og Explorer. Imaut.B gør i sidste ende Windows Jobliste og registreringsdatabasen utilgængelig.

Når Imaut.B -ormen starter, udfører den følgende handlinger:

1. Opret følgende fil:
% System% \ svchost32.exe

2. Download en fil fra Internettet, og gem den i Windows System -biblioteket som svhost.exe.

3. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Kontrolpanel
føjer til din nøgle
"Hjemmeside" = "1" værdi.

4. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
føjer til din nøgle
"DisableTaskMgr" = "1"
“DisableRegistryTools” = “1” værdier.

5. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
føjer til din nøgle
“Startside” = “[http: //] tintucso.com/lu […]”.

6. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
føjer til din nøgle
“Content url” = “[http: //] tintucso.com/lu […]”.

7. Registreringsdatabasen
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
føjer til din nøgle
“Content url” = “[http: //] tintucso.com/lu […]”.

8. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
føjer til din nøgle
"Task Manager" = "% System% \ svchost32.exe"
"SVCHOST" = "% System% \ svhost.exe" -værdier.

9. Stopper følgende processer (hvis de kører)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Den overvåger konstant vinduer, der har en af ​​følgende tekster i deres titellinje:
Denne computer
Windows Stifinder

11. Yahoo! Det forsøger at sprede sig via Messenger, AIM, Windows Live Messenger og Windows Messenger.

12. Gør Windows Task Manager og Registreringseditor utilgængelig.