ICQ-n keresztül terjed az Imav féreg
Az Imav.A féreg elsősorban ICQ-n keresztül terjed, és jelentősen képes meggyengíteni a fertőzött számítógépek védelmi rendszerét.
Az Imav.A féreg többnyire ICQ-n keresztül küldött üzenetek révén terjed. Az üzenetek egy hivatkozást is tartalmaznak, amely egy kártékony weboldalra mutat. Amennyiben a felhasználó erre a linkre kattint, akkor a féreg azonnal letöltődik a számítógépére. Ezt követően az Imav.A olyan változtatásokat hajt végre, amelyek teljesen megbénítják a biztonsági szoftverek működését. Ezáltal a féreg a fertőzött számítógépeket egyéb kártékony programokkal szemben is kiszolgáltatottá teszi.
Amikor az Imav.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Temp%\~[véletlenszerű fájlnév].exe
%Temp%\~[véletlenszerű fájlnév].jpg
%System%\im_1.exe
%System%\im_2.exe
2. Megnyitja az alábbi képállományt:
%Temp%\~[véletlenszerű fájlnév].jpg.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
kulcsában létrehozza az
“im_autorn” = “%System%\im_1.exe” értéket.
4. A regisztrációs adatbázis
HKEY_CURRENT_USER\SOFTWARE\Microsoft\IME
kulcsában létrehozza a
“FirstRun” = “1” értéket.
5. Leállítja a biztonsági szoftverekhez tartozó szolgáltatásokat.
6. A biztonsági szoftverekhez tartozó futtatható állományokat átnevezi, és azok neve elé egy “1”-est ír.
7. Fájlokat töröl a fertőzött számítógépekről.
8. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run\McAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\Symantec NetDriver Monitor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\ccApp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\NAV CfgWiz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\SSC_UserPrompt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\McAfee Guardian
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\APVXDWIN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\KAV50
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\avg7_cc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\avg7_emc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run\Zone Labs Client
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab
HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum
HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software
HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs
HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro
9. A fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait.
10. Fájlokat tölt le az Internetről, majd elmenti azokat az alábbi neveken:
%Windir%\__dwn.exe
%Windir%\__dwn_sp.exe
10. A 17940-es porton keresztül kapcsolódik a login.icq.com szerverhez, és olyan üzeneteket küldözget, amelyek egy kártékony weboldalra mutató linket is tartalmaznak. E weboldalról a féreg töltődik le a kiszemelt számítógépekre.