ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.
Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.
Classe | Email-Worm |
Plataforma | Win32 |
Descrição |
Detalhes técnicosO Yanker é um vírus de worms multicomponente muito perigoso que se espalha pela Internet como um arquivo RAR anexado a e-mails infectados. E-mails infectados contêm: Assunto: Oi, minha nova página da web; Corpo de e-mail: Oi: Aqui está a minha nova página da Web. Por favor, verifique-a e dê-me alguns conselhos. Nome do anexo: webpage.rar O arquivo RAR contém o arquivo webpage.htm e um subcatalogue chamado images, onde os principais componentes deste vírus estão armazenados: folder.htt (controla o arquivo do MS Explorer e as configurações de exibição da pasta - atributos: system / hidden) main_59.exe (arquivo dropper, escrito em Delphi, empacotado por UPX (57KB), atributos: system / hidden) main_60.exe (PSW.PassDumper, compactado com UPX (20k) - atributos: system / hidden) A pasta de imagens também contém vários arquivos inofensivos em vários formatos, como gif, css e outros. Esses arquivos são componentes de uma página da web. Instalando, espalhando, Payload No entanto, em ambos os casos, o worm Yanker utiliza o mesmo exploit CodeBaseExec , anexado ao final dos arquivos para se lançar. O arquivo (programa) main_59.exe é executado sem que os usuários da vítima consigam perceber nada. O programa main_59.exe verifica o endereço IP atual do computador infectado e o armazena em um arquivo txt ( ip.txt ). Em seguida, ele extrai e lança o componente principal do worm, yankee.vbs – um arquivo de 4KB em tamanho e escrito usando o Visual Basic Script. Simultaneamente, o worm verifica o registro do sistema para a sequência de chaves seguinte: HKCUSOFTWAREyankee ianque = 1 Se esta string já existir, o worm cessa todas as atividades. O script yankee.vbs faz o seguinte:
|
Link para o original |
|
Descubra as estatísticas das ameaças que se espalham em sua região |