W32.Imaut.CO

Новости

Тип:

Червь Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).

Операционная система:

Windows

Уровень:

низкий

Размер:

-

Признаки

При запуске создает следующие файлы:

  • %Windir%\True_Love.exe
  • %Windir%\MsRun32.exe
  • %System%\True_Love.exe
  • %System%\MsRun32.exe
  • %System%\autorun.ini
  • %System%\yahoomsgs.ini

(%Windir% - директория, в которую установлена Windows, %System% - системнаядиректория Windows.)

Копирует себя в корень всех съемных и сетевых дисков под именами True_love.exe и MsRun32.exe.Там же создает файл автозапуска autorun.inf, обеспечивающий запуск червя при подключении диска к системе.

Также копирует себя на все съемные диски под именами директорий, существующихв корне диска, с расширением .exe. Пользователь может перепутать их в “Проводнике”и запустить копию червя вместо открытия директории.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создаети модифицирует в реестре следующие записи соответственно:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”MSN Messengger” = “%System%\MsRun32.exe”
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\”Shell” = “Explorer.exe MsRun32.exe”

Через реестр отключает “Редактор реестра” и “Диспетчер задач”:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableTaskMgr” = “1″
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\”DisableRegistryTools” = “1″

Модифицирует также следующие записи в реестре:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\”CheckedValue” = “0 “
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\”NofolderOptions” = “1″
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\”shared” = “%DriveLetter%\True_Love.exe”

Завершает процессы со следующими именами:

  • cmd.exe
  • Registry
  • System Configuration
  • Windows Task

Каждый час пытается обновлять себя.

Каждые полчаса пытается распространяться через Yahoo! Messenger, отправляя ссылкуна свою копию по списку контактов пользователя, находящихся в режиме онлайн.

Ссылка [URL] отправляется с одним из следующих сообщений:

  • Ha ha ha click on link to laugh … [URL]
  • what a joke …… [URL]
  • nice one see this …. [URL]
  • what a joke …..click to see [URL]
  • what a joke …… [URL]
  • nice to listen ………. [URL]
  • what is this ? ……see [URL]
  • i am busy you click on a link and see … [URL]
  • what is this ? …… see [URL]

[URL] - ссылка [http://]tinyurl.com/2n[???]

Одно из сообщений, содержащих ссылку, выставляет в статус доступности текущего пользователя.

URL перенаправляет пользователя на вредоносный сайт, содержащий архив Santa-Banta-Joke-Flash-2008.zip,содержащий копию червя под именем “Read Joke.doc.exe”.

ЗАЩИТА

  • Отключить функцию “Восстановление системы” (для Windows ME и XP)
  • Полностью проверить систему антивирусом с обновлённой базой сигнатур
  • Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные диски и рассылкой URL своей копии через Yahoo! Messenger.