Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Yanker je velmi nebezpečný vícesložkový virus červů, který se šíří přes internet jako archiv RAR, který je připojen k infikovaným e-mailům.

Infikované e-maily obsahují:

 Předmět: Ahoj, moje nová webová stránka; o) 
 Tělo e-mailu: Ahoj: 
 Zde je moje nová webová stránka.Prosím zkontrolujte a dejte mi nějakou radu. 
 Název přílohy: webpage.rar

Archiv RAR obsahuje soubor webpage.htm a podkatalogové pojmenované obrázky, kde jsou uloženy hlavní součásti tohoto viru:

folder.htt (ovládá nastavení souboru MS Explorer a složky - atributy: system / hidden) 
main_59.exe (dropper soubor, napsaný v Delphi, zabalený UPX (57KB), atributy: system / hidden) 
main_60.exe (PSW.PassDumper, zabalený s UPX (20k) - atributy: system / hidden)

Složka obrázků obsahuje také několik neškodných souborů v různých formátech, jako je gif, css a další. Tyto soubory jsou součástí webové stránky.

Instalace, rozmetání, užitečné zatížení
Po zrušení archivace infikovaného souboru RAR může červ červů získat kontrolu nad systémem uživatele dvěma způsoby: když je otevřen soubor webpage.htm nebo je prohlížena složka obrázků pomocí aplikace MS Explorer.

V obou případech však používá červ, který používá stejný kód CodeBaseExec , připojený na konec souborů, který se sám spustí. Soubor (program) main_59.exe běží bez toho, aby uživatelé obětí mohli nic vidět .

Program main_59.exe zjistí aktuální IP adresu infikovaného počítače a uloží je do souboru txt ( ip.txt ). Pak vytahuje a spouští hlavní komponentu červa yankee.vbs – soubor o velikosti 4 kB a psaný pomocí jazyka Visual Basic Script. Současně červa kontroluje systémový registr pro následující klíčový řetězec:

 
 HKCUSOFTWAREyankee 
 yankee = 1

Pokud tento řetězec již existuje, červa ukončí všechny činnosti.

Skript yankee.vbs provede následující:

Odesílá soubor ip.txt s adresou IP infikovaného počítače a všemi hesly nalezenými v systému (pomocí PassDumperu) na následující e-mailovou adresu:
```
  xdvirus@peoplemail.com.cn 
 
```
Odesílá svůj archív "webpage.RAR" na všechny adresy v adresáři MS Outlook.
Zapíše následující klíčový řetězec do registru systému systému Windows:
```
 HKCUSOFTWAREyankee 
 yankee = 1 
 
```
Odstraní všechny dostupné nesystémové složky na pevných a vyměnitelných jednotkách.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Yanker je velmi nebezpečný vícesložkový virus červů, který se šíří přes internet jako archiv RAR, který je připojen k infikovaným e-mailům. Infikované e-maily obsahují: Předmět: Ahoj, moje nová webová stránka; o) Tělo e-mailu: Ahoj: Zde je moje nová webová stránka.Prosím zkontrolujte a dejte mi nějakou radu. Název přílohy: webpage.rar Archiv RAR obsahuje soubor webpage.htm a podkatalogové pojmenované obrázky, kde jsou uloženy hlavní součásti tohoto viru: folder.htt (ovládá nastavení souboru MS Explorer a složky - atributy: system / hidden) main_59.exe (dropper soubor, napsaný v Delphi, zabalený UPX (57KB), atributy: system / hidden) main_60.exe (PSW.PassDumper, zabalený s UPX (20k) - atributy: system / hidden) Složka obrázků obsahuje také několik neškodných souborů v různých formátech, jako je gif, css a další. Tyto soubory jsou součástí webové stránky. Instalace, rozmetání, užitečné zatížení Po zrušení archivace infikovaného souboru RAR může červ červů získat kontrolu nad systémem uživatele dvěma způsoby: když je otevřen soubor webpage.htm nebo je prohlížena složka obrázků pomocí aplikace MS Explorer. V obou případech však používá červ, který používá stejný kód CodeBaseExec , připojený na konec souborů, který se sám spustí. Soubor (program) main_59.exe běží bez toho, aby uživatelé obětí mohli nic vidět . Program main_59.exe zjistí aktuální IP adresu infikovaného počítače a uloží je do souboru txt ( ip.txt ). Pak vytahuje a spouští hlavní komponentu červa yankee.vbs – soubor o velikosti 4 kB a psaný pomocí jazyka Visual Basic Script. Současně červa kontroluje systémový registr pro následující klíčový řetězec: HKCUSOFTWAREyankee yankee = 1 Pokud tento řetězec již existuje, červa ukončí všechny činnosti. Skript yankee.vbs provede následující: Odesílá soubor ip.txt s adresou IP infikovaného počítače a všemi hesly nalezenými v systému (pomocí PassDumperu) na následující e-mailovou adresu: xdvirus@peoplemail.com.cn Odesílá svůj archív "webpage.RAR" na všechny adresy v adresáři MS Outlook. Zapíše následující klíčový řetězec do registru systému systému Windows: HKCUSOFTWAREyankee yankee = 1 Odstraní všechny dostupné nesystémové složky na pevných a vyměnitelných jednotkách.
	Odkaz na originál

Email-Worm.Win32.Yanker

Technické údaje