Az Imaut.F féreg számtalan módosítást végez a kiszemelt rendszereken. Tevékenykedése során a Windows rendszerkönyvtárába másolja be a saját állományait, amelyeket a későbbiekben az interneten keresztül frissít. Ezt követően a regisztrációs adatbázisban, illetve egyes konfigurációs állományokban olyan műveleteket hajt végre, amelyek révén megváltoztatja az Internet Explorer, valamint a Firefox alapértelmezett kezdőoldalának beállításait.
Az Isidor Biztonsági Központ jelentése szerint az Imaut.F azonnali üzenetküldőkön keresztül terjed. Elsősorban a Yahoo! Messenger és a Google Talk felhasználásával küldözget olyan üzeneteket, amelyek egy kártékony weboldalra mutató hivatkozást is tartalmaznak. A féreg érdekessége, hogy amennyiben nem talál a fertőzött rendszeren Yahoo! Messengert, akkor azt letölti az internetről, majd telepíti a PC-re.
Az Imaut.F minden helyi és megosztott meghajtó gyökér könyvtárába bemásol egy New Folder.exe állományt, és teljesen váratlanul újraindítja a számítógépet.
Amikor az Imaut.F féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\system3_.exe
%Windir%\system3_.exe
%System%\autorun.ini
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe system3_.exe"
3. A regisztrációs adatbázis módosításával megváltoztatja az Internet Explorer egyes beállításait:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Page_URL" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "[...]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "[...]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[...]"
4. A regisztrációs adatbázisban létrehozza a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"AtTaskMaxHours" = 0
5. Módosítja a Firefoxhoz tartozó pref.js állományt, és megváltoztatja a Firefox kezdőoldalát.
6. Csatlakozik egy távoli szerverhez, és arról letölt egy konfigurációs állományt.
7. A konfigurációs állomány alapján letölti a saját frissítéseit.
8. Amennyiben a Yahoo! Messenger nincs feltelepítve a számítógépre, akkor megpróbálja letölteni az ahhoz tartozó telepítőállományt, majd felinstallálja a programot.
9. Leállítja az alábbi folyamatokat (amennyiben azok futnak):
game_y.exe
cmd.exe
10. Bezárja azokat az ablakokat, amelyek címsorában a következő szavak valamelyike is megtalálható:
Bkav2006
System Configuration
Registry
Windows Task
11.Kitörli az alábbi kulcsot a regisztrációs adatbázisból:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"IEProtection"
12. Újraindítja a számítógépet.
13. Minden helyi és megosztott meghajtó gyökér könyvtárába létrehoz egy New Folder.exe nevű fájlt.
14. Üzeneteket kezd el küldözgetni a Yahoo! Messenger és a Google Talk segítségével.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.