W32.Imaut.CO

Признаки:
При запуске создает следующие файлы:
* %Windir%\True_Love.exe
* %Windir%\MsRun32.exe
* %System%\True_Love.exe
* %System%\MsRun32.exe
* %System%\autorun.ini
* %System%\yahoomsgs.ini

(%Windir% - директория, в которую установлена Windows, %System% - системная директория Windows.)

Копирует себя в корень всех съемных и сетевых дисков под именами True_love.exe и MsRun32.exe. Там же создает файл автозапуска autorun.inf, обеспечивающий запуск червя при подключении диска к системе.

Также копирует себя на все съемные диски под именами директорий, существующих в корне диска, с расширением .exe. Пользователь может перепутать их в "Проводнике" и запустить копию червя вместо открытия директории.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создает и модифицирует в реестре следующие записи соответственно:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"MSN Messengger" = "%System%\MsRun32.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe MsRun32.exe"


Через реестр отключает "Редактор реестра" и "Диспетчер задач":
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"

Модифицирует также следующие записи в реестре:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0 "
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shared" = "%DriveLetter%\True_Love.exe"

Завершает процессы со следующими именами:
* cmd.exe
* Registry
* System Configuration
* Windows Task

Каждый час пытается обновлять себя.

Каждые полчаса пытается распространяться через Yahoo! Messenger, отправляя ссылку на свою копию по списку контактов пользователя, находящихся в режиме онлайн.

Ссылка [URL] отправляется с одним из следующих сообщений:
* Ha ha ha click on link to laugh ... [URL]
* what a joke ...... [URL]
* nice one see this .... [URL]
* what a joke .....click to see [URL]
* what a joke ...... [URL]
* nice to listen .......... [URL]
* what is this ? ......see [URL]
* i am busy you click on a link and see ... [URL]
* what is this ? ...... see [URL]

[URL] - ссылка [http://]tinyurl.com/2n[???]

Одно из сообщений, содержащих ссылку, выставляет в статус доступности текущего пользователя.

URL перенаправляет пользователя на вредоносный сайт, содержащий архив Santa-Banta-Joke-Flash-2008.zip, содержащий копию червя под именем "Read Joke.doc.exe".


ЗАЩИТА
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Червь для платформы Windows. Распространяется копированием себя на съемные диски и рассылкой URL своей копии через Yahoo! Messenger.