Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O Yanker é um vírus de worms multicomponente muito perigoso que se espalha pela Internet como um arquivo RAR anexado a e-mails infectados.

E-mails infectados contêm:

 Assunto: Oi, minha nova página da web; 
 Corpo de e-mail: Oi: 
 Aqui está a minha nova página da Web. Por favor, verifique-a e dê-me alguns conselhos. 
 Nome do anexo: webpage.rar

O arquivo RAR contém o arquivo webpage.htm e um subcatalogue chamado images, onde os principais componentes deste vírus estão armazenados:

folder.htt (controla o arquivo do MS Explorer e as configurações de exibição da pasta - atributos: system / hidden) 
main_59.exe (arquivo dropper, escrito em Delphi, empacotado por UPX (57KB), atributos: system / hidden) 
main_60.exe (PSW.PassDumper, compactado com UPX (20k) - atributos: system / hidden)

A pasta de imagens também contém vários arquivos inofensivos em vários formatos, como gif, css e outros. Esses arquivos são componentes de uma página da web.

Instalando, espalhando, Payload
Depois de desarquivar o arquivo RAR infectado, o worm yanker pode ganhar o controle do sistema de um usuário de duas maneiras: quando o arquivo webpage.htm é aberto ou quando a pasta images é visualizada usando o MS Explorer.

No entanto, em ambos os casos, o worm Yanker utiliza o mesmo exploit CodeBaseExec , anexado ao final dos arquivos para se lançar. O arquivo (programa) main_59.exe é executado sem que os usuários da vítima consigam perceber nada.

O programa main_59.exe verifica o endereço IP atual do computador infectado e o armazena em um arquivo txt ( ip.txt ). Em seguida, ele extrai e lança o componente principal do worm, yankee.vbs – um arquivo de 4KB em tamanho e escrito usando o Visual Basic Script. Simultaneamente, o worm verifica o registro do sistema para a sequência de chaves seguinte:

 
 HKCUSOFTWAREyankee 
 ianque = 1

Se esta string já existir, o worm cessa todas as atividades.

O script yankee.vbs faz o seguinte:

Envia o arquivo ip.txt com o endereço IP do computador infectado e todas as senhas encontradas no sistema (usando o PassDumper) para o seguinte endereço de e-mail:
```
  xdvirus@peoplemail.com.cn 
 
```
Envia seu arquivo "webpage.RAR" para todos os endereços encontrados no catálogo de endereços do MS Outlook.
Grava a seguinte string de chave no Registro do Sistema do Windows:
```
 HKCUSOFTWAREyankee 
 ianque = 1 
 
```
Exclui todas as pastas acessíveis que não sejam do sistema em unidades rígidas e removíveis.

Link para o original

Classe	Email-Worm
Plataforma	Win32
Descrição	Detalhes técnicos O Yanker é um vírus de worms multicomponente muito perigoso que se espalha pela Internet como um arquivo RAR anexado a e-mails infectados. E-mails infectados contêm: Assunto: Oi, minha nova página da web; Corpo de e-mail: Oi: Aqui está a minha nova página da Web. Por favor, verifique-a e dê-me alguns conselhos. Nome do anexo: webpage.rar O arquivo RAR contém o arquivo webpage.htm e um subcatalogue chamado images, onde os principais componentes deste vírus estão armazenados: folder.htt (controla o arquivo do MS Explorer e as configurações de exibição da pasta - atributos: system / hidden) main_59.exe (arquivo dropper, escrito em Delphi, empacotado por UPX (57KB), atributos: system / hidden) main_60.exe (PSW.PassDumper, compactado com UPX (20k) - atributos: system / hidden) A pasta de imagens também contém vários arquivos inofensivos em vários formatos, como gif, css e outros. Esses arquivos são componentes de uma página da web. Instalando, espalhando, Payload Depois de desarquivar o arquivo RAR infectado, o worm yanker pode ganhar o controle do sistema de um usuário de duas maneiras: quando o arquivo webpage.htm é aberto ou quando a pasta images é visualizada usando o MS Explorer. No entanto, em ambos os casos, o worm Yanker utiliza o mesmo exploit CodeBaseExec , anexado ao final dos arquivos para se lançar. O arquivo (programa) main_59.exe é executado sem que os usuários da vítima consigam perceber nada. O programa main_59.exe verifica o endereço IP atual do computador infectado e o armazena em um arquivo txt ( ip.txt ). Em seguida, ele extrai e lança o componente principal do worm, yankee.vbs – um arquivo de 4KB em tamanho e escrito usando o Visual Basic Script. Simultaneamente, o worm verifica o registro do sistema para a sequência de chaves seguinte: HKCUSOFTWAREyankee ianque = 1 Se esta string já existir, o worm cessa todas as atividades. O script yankee.vbs faz o seguinte: Envia o arquivo ip.txt com o endereço IP do computador infectado e todas as senhas encontradas no sistema (usando o PassDumper) para o seguinte endereço de e-mail: xdvirus@peoplemail.com.cn Envia seu arquivo "webpage.RAR" para todos os endereços encontrados no catálogo de endereços do MS Outlook. Grava a seguinte string de chave no Registro do Sistema do Windows: HKCUSOFTWAREyankee ianque = 1 Exclui todas as pastas acessíveis que não sejam do sistema em unidades rígidas e removíveis.
	Link para o original

Email-Worm.Win32.Yanker

Detalhes técnicos