Imaut.B 蠕虫以新的活力攻击

在通过即时通讯工具传播的 Imaut 蠕虫的第一个变种发布几天后，出现了一个更新的版本，它也使用了一些新技术来感染计算机。

Imaut.B 蠕虫与其第一个变种一样，主要由 Yahoo! 使用。 Messenger、AIM、Windows Live Messenger 和 Windows Messenger 尝试感染尽可能多的计算机。 它发送的消息还包含指向恶意网站的链接。 如果用户点击这样的链接，蠕虫会立即下载到他们的计算机上。 然后它在注册数据库中创建许多条目，然后开始重定向网页。 该蠕虫还会持续监视“我的电脑”和“资源管理器”的窗口。 Imaut.B 最终使 Windows 任务管理器和注册表无法访问。

当 Imaut.B 蠕虫启动时，它会执行以下操作：

1. 创建以下文件：
%系统%\svchost32.exe

2. 从网上下载一个文件，并将其作为 svhost.exe 保存到 Windows 系统目录中。

3.注册数据库
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
添加到您的密钥
“主页”=值“1”。

4.注册数据库
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
添加到您的密钥
“禁用任务管理器”=“1”
“DisableRegistryTools”=“1”值。

5.注册数据库
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
添加到您的密钥
“起始页”=“[http://]tintucso.com/lu[…]”值。

6.注册数据库
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_buzz
添加到您的密钥
“内容网址”=“[http://]tintucso.com/lu[…]”值。

7.注册数据库
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
添加到您的密钥
“内容网址”=“[http://]tintucso.com/lu[…]”值。

8.注册数据库
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加到您的密钥
“任务管理器”=“%System%\svchost32.exe”
“SVCHOST”=“%System%\svhost.exe”值。

9. 停止以下进程（如果它们正在运行）
Bkav2006.exe
IEProt程序
svhost32.exe
svchost32.exe
执行程序
vsserv.exe

10. 它会持续监视标题栏中包含以下文本之一的窗口：
我的电脑
Windows资源管理器

11. 雅虎！ 它试图通过 Messenger、AIM、Windows Live Messenger 和 Windows Messenger 进行传播。

12. 使 Windows 任务管理器和注册表编辑器不可用。