Црв Имаут.Б напада нову снагу

Неколико дана након објављивања прве варијанте црва Имаут, која се шири путем инстант месинџера, појавила се новија верзија која је такође користила неке нове технике за заразу рачунара.

Црв Имаут.Б, као и његову прву варијанту, првенствено користи Иахоо! Мессенгер, АИМ, Виндовс Ливе Мессенгер и Виндовс Мессенгер покушавају да заразе што више рачунара. Шаље поруке које такође садрже везу до злонамерне веб локације. Ако корисник кликне на такву везу, црв се одмах преузима на његов рачунар. Затим креирате одређени број уноса у бази података за регистрацију, а затим почињете да преусмеравате веб странице. Црв такође стално надгледа прозоре Ми Цомпутер и Екплорер. Имаут.Б на крају чини Виндовс Таск Манагер и регистратор недоступним.

Када се црв Имаут.Б покрене, он обавља следеће радње:

1. Креирајте следећу датотеку:
% Систем% \ свцхост32.еке

2. Преузмите датотеку са Интернета и сачувајте је у Виндовс системском директоријуму као свхост.еке.

3. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Полициес \ Мицрософт \ Интернет Екплорер \ Цонтрол Панел
додаје вашем кључу
„Почетна страница“ = вредност „1“.

4. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Полициес \ Систем
додаје вашем кључу
„ДисаблеТаскМгр“ = „1“
„ДисаблеРегистриТоолс“ = „1“ вредности.

5. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Интернет Екплорер \ Маин
додаје вашем кључу
„Старт Паге“ = „[хттп://]тинтуцсо.цом/лу[…]“ вредност.

6. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Иахоо \ пагер \ Виев \ ИМСГР_бузз
додаје вашем кључу
„урл садржаја“ = вредност „[хттп://]тинтуцсо.цом/лу[…]“.

7. База података о регистрацији
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Иахоо \ пагер \ Виев \ ИМСГР_Лаун цхцаст
додаје вашем кључу
„урл садржаја“ = вредност „[хттп://]тинтуцсо.цом/лу[…]“.

8. База података о регистрацији
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Рун
додаје вашем кључу
„Менаџер задатака“ = „%Систем%\свцхост32.еке“
„СВЦХОСТ“ = вредности „%Систем%\свхост.еке“.

9. Зауставља следеће процесе (ако су покренути)
Бкав2006.еке
ИЕПрот.еке
свхост32.еке
свцхост32.еке
бдсс.еке
вссерв.еке

10. Стално надгледа прозоре који имају један од следећих текстова у насловној траци:
Ми Цомпутер
windows Екплорера

11. Иахоо! Покушава да се шири кроз Мессенгер, АИМ, Виндовс Ливе Мессенгер и Виндовс Мессенгер.

12. Чини Виндовс Таск Манагер и Регистри Едитор недоступним.