ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Yanker

Classe Email-Worm
Plataforma Win32
Descrição

Detalhes técnicos

O Yanker é um vírus de worms multicomponente muito perigoso que se espalha pela Internet como um arquivo RAR anexado a e-mails infectados.

E-mails infectados contêm:

 Assunto: Oi, minha nova página da web; 
 Corpo de e-mail: Oi: 
 Aqui está a minha nova página da Web. Por favor, verifique-a e dê-me alguns conselhos. 
 Nome do anexo: webpage.rar 
 

O arquivo RAR contém o arquivo webpage.htm e um subcatalogue chamado images, onde os principais componentes deste vírus estão armazenados:

folder.htt (controla o arquivo do MS Explorer e as configurações de exibição da pasta - atributos: system / hidden) 
main_59.exe (arquivo dropper, escrito em Delphi, empacotado por UPX (57KB), atributos: system / hidden) 
main_60.exe (PSW.PassDumper, compactado com UPX (20k) - atributos: system / hidden) 

A pasta de imagens também contém vários arquivos inofensivos em vários formatos, como gif, css e outros. Esses arquivos são componentes de uma página da web.

Instalando, espalhando, Payload
Depois de desarquivar o arquivo RAR infectado, o worm yanker pode ganhar o controle do sistema de um usuário de duas maneiras: quando o arquivo webpage.htm é aberto ou quando a pasta images é visualizada usando o MS Explorer.

No entanto, em ambos os casos, o worm Yanker utiliza o mesmo exploit CodeBaseExec , anexado ao final dos arquivos para se lançar. O arquivo (programa) main_59.exe é executado sem que os usuários da vítima consigam perceber nada.

O programa main_59.exe verifica o endereço IP atual do computador infectado e o armazena em um arquivo txt ( ip.txt ). Em seguida, ele extrai e lança o componente principal do worm, yankee.vbs – um arquivo de 4KB em tamanho e escrito usando o Visual Basic Script. Simultaneamente, o worm verifica o registro do sistema para a sequência de chaves seguinte:

 
 HKCUSOFTWAREyankee 
 ianque = 1 
 

Se esta string já existir, o worm cessa todas as atividades.

O script yankee.vbs faz o seguinte:

  • Envia o arquivo ip.txt com o endereço IP do computador infectado e todas as senhas encontradas no sistema (usando o PassDumper) para o seguinte endereço de e-mail:
      xdvirus@peoplemail.com.cn 
     
  • Envia seu arquivo "webpage.RAR" para todos os endereços encontrados no catálogo de endereços do MS Outlook.
  • Grava a seguinte string de chave no Registro do Sistema do Windows:
     HKCUSOFTWAREyankee 
     ianque = 1 
     
  • Exclui todas as pastas acessíveis que não sejam do sistema em unidades rígidas e removíveis.

Link para o original