Der Imaut.B-Wurm greift mit neuer Kraft an

Wenige Tage nach der Veröffentlichung der ersten Variante des Imaut-Wurms, der sich über Instant Messenger verbreitet, erschien eine neuere Version, die auch einige neue Techniken nutzte, um Computer zu infizieren.

Der Wurm Imaut.B wird wie seine erste Variante hauptsächlich von Yahoo! Messenger, AIM, Windows Live Messenger und Windows Messenger versuchen, so viele Computer wie möglich zu infizieren. Es sendet Nachrichten, die auch einen Link zu einer schädlichen Website enthalten. Wenn der Benutzer auf einen solchen Link klickt, wird der Wurm sofort auf seinen Computer heruntergeladen. Anschließend erstellen Sie eine Reihe von Einträgen in der Registrierungsdatenbank und beginnen dann mit der Umleitung von Webseiten. Der Wurm überwacht auch ständig die Fenster von Arbeitsplatz und Explorer. Imaut.B macht schließlich den Windows Task-Manager und die Registrierung unzugänglich.

Wenn der Wurm Imaut.B startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgende Datei:
% System% \ svchost32.exe

2. Laden Sie eine Datei aus dem Internet herunter und speichern Sie sie als svhost.exe im Windows-Systemverzeichnis.

3. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
fügt Ihrem Schlüssel hinzu
„Startseite“ = „1“-Wert.

4. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
fügt Ihrem Schlüssel hinzu
„DisableTaskMgr“ = „1“
„DisableRegistryTools“ = „1“-Werte.

5. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
fügt Ihrem Schlüssel hinzu
„Startseite“ = „[http: //] tintucso.com/lu […]“.

6. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
fügt Ihrem Schlüssel hinzu
„Inhalts-URL“ = „[http: //] tintucso.com/lu […]“.

7. Die Registrierungsdatenbank
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
fügt Ihrem Schlüssel hinzu
„Inhalts-URL“ = „[http: //] tintucso.com/lu […]“.

8. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
fügt Ihrem Schlüssel hinzu
"Task-Manager" = "% System% \ svchost32.exe"
„SVCHOST“ = „% System% \ svhost.exe“-Werte.

9. Stoppt die folgenden Prozesse (sofern sie laufen)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Es überwacht ständig Fenster, die einen der folgenden Texte in ihrer Titelleiste haben:
mein Computer-
Windows Explorer

11. Yahoo! Es versucht, sich über Messenger, AIM, Windows Live Messenger und Windows Messenger zu verbreiten.

12. Macht den Windows Task-Manager und den Registrierungs-Editor nicht verfügbar.