Il verme Imaut.B attacca con rinnovato vigore

Pochi giorni dopo il rilascio della prima variante del worm Imaut, che si diffonde attraverso i servizi di messaggistica istantanea, è apparsa una versione più recente che utilizzava anche alcune nuove tecniche per infettare i computer.

Il worm Imaut.B, come la sua prima variante, è utilizzato principalmente da Yahoo! Messenger, AIM, Windows Live Messenger e Windows Messenger cercano di infettare il maggior numero possibile di computer. Invia messaggi che contengono anche un collegamento a un sito Web dannoso. Se l'utente fa clic su tale collegamento, il worm viene immediatamente scaricato sul proprio computer. Quindi crei una serie di voci nel database di registrazione e quindi inizi a reindirizzare le pagine web. Il worm controlla costantemente anche le finestre di Risorse del computer ed Explorer. Imaut.B alla fine rende inaccessibile il Task Manager di Windows e il registro.

Quando il worm Imaut.B si avvia, esegue le seguenti azioni:

1. Creare il seguente file:
% System% \ svchost32.exe

2. Scaricare un file da Internet e salvarlo nella directory di sistema di Windows come svhost.exe.

3. Il database di registrazione
Pannello di controllo HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \
aggiunge alla tua chiave
“Homepage” = valore “1”.

4. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
aggiunge alla tua chiave
“DisableTaskMgr” = “1”
"DisableRegistryTools" = valori "1".

5. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
aggiunge alla tua chiave
“Pagina iniziale” = valore “[http://]tintucso.com/lu[…]”.

6. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Yahoo \ cercapersone \ Visualizza \ YMSGR_buzz
aggiunge alla tua chiave
“URL contenuto” = valore “[http://]tintucso.com/lu[…]”.

7. Il database di registrazione
HKEY_CURRENT_USER \ Software \ Yahoo \ cercapersone \ Visualizza \ YMSGR_Laun chcast
aggiunge alla tua chiave
“URL contenuto” = valore “[http://]tintucso.com/lu[…]”.

8. Il database di registrazione
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alla tua chiave
“Gestione attività” = “%System%\svchost32.exe”
“SVCHOST” = valori “%System%\svhost.exe”.

9. Arresta i seguenti processi (se sono in esecuzione)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Monitora costantemente le finestre che hanno uno dei seguenti testi nella barra del titolo:
Risorse del computer
di Windows Explorer

11. Yahoo! Cerca di diffondersi tramite Messenger, AIM, Windows Live Messenger e Windows Messenger.

12. Rende non disponibili il Task Manager di Windows e l'editor del registro.