Crv Imaut.B napada novu snagu
Nekoliko dana nakon izlaska prve varijante crva Imaut, koji se širi trenutnim glasnicima, pojavila se novija verzija koja je također koristila neke nove tehnike za zarazu računala.
Crv Imaut.B, kao i njegovu prvu varijantu, primarno koristi Yahoo! Messenger, AIM, Windows Live Messenger i Windows Messenger pokušavaju zaraziti što više računala. Šalje poruke koje također sadrže vezu do zlonamjerne web stranice. Ako korisnik klikne na takvu vezu, crv se odmah preuzima na njegovo računalo. Zatim stvara broj unosa u bazi podataka za registraciju, a zatim započinje s preusmjeravanjem web stranica. Crv također neprestano nadgleda prozore Mog računala i Explorera. Imaut.B s vremenom čini Windows Task Manager i registar nedostupnima.
Kada se crv Imaut.B pokrene, on izvršava sljedeće radnje:
1. Stvorite sljedeću datoteku:
% Sustav% \ svchost32.exe
2. Preuzmite datoteku s Interneta i spremite je u direktorij sustava Windows kao svhost.exe.
3. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Upravljačka ploča
dodaje vašem ključu
“Početna stranica” = vrijednost “1”.
4. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System
dodaje vašem ključu
“DisableTaskMgr” = “1”
Vrijednosti “DisableRegistryTools” = “1”.
5. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Glavni
dodaje vašem ključu
“Početna stranica” = “[http://]tintucso.com/lu[…]” vrijednost.
6. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
dodaje vašem ključu
“content url” = “[http://]tintucso.com/lu[…]” vrijednost.
7. Baza podataka o registraciji
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
dodaje vašem ključu
“content url” = “[http://]tintucso.com/lu[…]” vrijednost.
8. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
dodaje vašem ključu
“Upravitelj zadataka” = “%System%\svchost32.exe”
Vrijednosti “SVCHOST” = “%System%\svhost.exe”.
9. Zaustavlja sljedeće procese (ako se izvode)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe
10. Stalno nadgleda prozore koji na naslovnoj traci imaju jedan od sljedećih tekstova:
Moje računalo
Windows Explorer
11. Yahoo! Pokušava se proširiti kroz Messenger, AIM, Windows Live Messenger i Windows Messenger.
12. Čini Windows Manager Task Manager i Registry Editor nedostupnima.
