В архивах RAR может скрываться опасный вирус

25.04.2003 | 15:23
В интернете обнаружен опасный многокомпонентный вирус-червь Yanker. Распространяется он в виде архива RAR, прикрепленного к зараженным письмам.

Имя вложения: webpage.rar. Архив RAR содержит в себе файл "webpage.htm" и подкаталог "images", в котором содержатся основные компоненты вируса.

После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла "webpage.htm" или при просмотре каталога "images" при помощи MS Explorer.

В обоих случаях червь использует для своего запуска один и тот же эксплойт "CodeBaseExec", встроенный в конец файлов. При помощи него запускается на исполнение файл "main_59.exe".

Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает основной компонент червя - файл "yankee.vbs". Этот файл написан на Visual Basic Script и имеет размер около 4к. Скрипт "yankee.vbs" при запуске осуществляет следующие действия:

Отсылает на адрес "xdvirus@peoplemail.com.cn" письмо, в которое помещает все обнаруженные пароли (при помощи утилиты PassDumder) и вложение "ip.txt" с IP-адресом пораженного компьютера.

Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив "webpage.rar".

Записывает в системный реестр Windows ключ: HKCU\SOFTWARE\yankee yankee = 1.

Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.

Более подробное описание Yanker доступно в Вирусной Энциклопедии Касперского.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.viruslist.com
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код