Sélectionner une page

Le ver Imaut.B attaque avec une vigueur renouvelée

Écrit par: | 2006 octobre 11 | | 0 |

Quelques jours après la sortie de la première variante du ver Imaut, qui se propage via les messageries instantanées, une version plus récente est apparue qui utilisait également de nouvelles techniques pour infecter les ordinateurs.

Le ver Imaut.B, comme sa première variante, est principalement utilisé par Yahoo! Messenger, AIM, Windows Live Messenger et Windows Messenger tentent d'infecter autant d'ordinateurs que possible. Il envoie des messages qui contiennent également un lien vers un site Web malveillant. Si l'utilisateur clique sur un tel lien, le ver est immédiatement téléchargé sur son ordinateur. Vous créez ensuite un certain nombre d'entrées dans la base de données d'enregistrement, puis commencez à rediriger les pages Web. Le ver surveille également en permanence les fenêtres du Poste de travail et de l'Explorateur. Imaut.B rend finalement le gestionnaire de tâches Windows et le registre inaccessibles.

Lorsque le ver Imaut.B démarre, il effectue les actions suivantes :

1. Créez le fichier suivant :
% System% \ svchost32.exe

2. Téléchargez un fichier sur Internet et enregistrez-le dans le répertoire système de Windows sous le nom svhost.exe.

3. La base de données d'inscription
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Internet Explorer \ Control Panel
ajoute à votre clé
« Page d'accueil » = valeur « 1 ».

4. La base de données d'inscription
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
ajoute à votre clé
"DésactiverTaskMgr" = "1"
« DisableRegistryTools » = valeurs « 1 ».

5. La base de données d'inscription
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main
ajoute à votre clé
« Page de démarrage » = valeur « [http://]tintucso.com/lu[…] ».

6. La base de données d'inscription
HKEY_CURRENT_USER \ Logiciel \ Yahoo \ pager \ View \ YMSGR_buzz
ajoute à votre clé
« URL de contenu » = valeur « [http://]tintucso.com/lu[…] ».

7. La base de données d'inscription
HKEY_CURRENT_USER \ Software \ Yahoo \ pager \ View \ YMSGR_Laun chcast
ajoute à votre clé
« URL de contenu » = valeur « [http://]tintucso.com/lu[…] ».

8. La base de données d'inscription
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
ajoute à votre clé
« Gestionnaire des tâches » = « %System%\svchost32.exe »
Valeurs « SVCHOST » = « %System%\svhost.exe ».

9. Arrête les processus suivants (s'ils sont en cours d'exécution)
Bkav2006.exe
IEProt.exe
svhost32.exe
svchost32.exe
bdss.exe
vsserv.exe

10. Il surveille en permanence les fenêtres dont la barre de titre contient l'un des textes suivants :
Poste de travail
Explorateur windows

11. Yahoo! Il essaie de se propager via Messenger, AIM, Windows Live Messenger et Windows Messenger.

12. Rend le Gestionnaire des tâches Windows et l'Éditeur du Registre indisponibles.

En lisant: 2 048

Mesure:

A propos de l'auteur

Adhérents

Articles Similaires

Virus sur les clés USB hybrides HP

Virus sur les clés USB hybrides HP

2008-04-10

Windows XP - Test d'exigence minimale

Windows XP - Test d'exigence minimale

2006-01-31

Captures d'écran de la version bêta d'Internet Explorer 9

Captures d'écran de la version bêta d'Internet Explorer 9

2010-09-16

Google Chrome épuisé ?

Google Chrome épuisé ?

2012-03-05

bannière

AcheterBestGear

Hirdetes

ranvée

Appareils électroménagers Ranvee