Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Yanker es un virus gusano multicomponente muy peligroso que se propaga a través de Internet como un archivo RAR adjunto a correos electrónicos infectados.

Los correos electrónicos infectados contienen:

 Asunto: Hola, mi nueva página web; o) 
 Cuerpo del correo electrónico: Hola: 
 Aquí está mi nueva página web. Por favor, verifíquela y bríndeme algunos consejos. 
 Nombre del archivo adjunto: webpage.rar

El archivo RAR contiene el archivo webpage.htm y un subcatalogo llamado imágenes donde se almacenan los componentes principales de este virus:

folder.htt (controla la configuración de visualización de archivos y carpetas de MS Explorer - attributes: system / hidden) 
main_59.exe (archivo dropper, escrito en Delphi, empaquetado por UPX (57KB), atributos: system / hidden) 
main_60.exe (PSW.PassDumper, lleno de UPX (20k) - atributos: sistema / oculto)

La carpeta de imágenes también contiene varios archivos inofensivos en varios formatos, como gif, css y más. Estos archivos son componentes de una página web.

Instalación, difusión, carga útil
Después de desarchivar el archivo RAR infectado, el gusano yanker puede obtener el control del sistema de un usuario de dos maneras: cuando se abre el archivo webpage.htm o cuando se ve la carpeta de imágenes usando MS Explorer.

Sin embargo, en ambos casos, el gusano yanker utiliza el mismo exploit CodeBaseExec , adjunto al final de los archivos para lanzarse. El archivo (programa) main_59.exe se ejecuta sin que los usuarios de la víctima puedan notar nada.

El programa main_59.exe determina la dirección IP actual de la computadora infectada y la almacena en un archivo txt ( ip.txt ). Luego extrae y ejecuta el componente principal del gusano, yankee.vbs , un archivo de 4 KB de tamaño y escrito con Visual Basic Script. Simultáneamente, el gusano comprueba el registro del sistema para la siguiente cadena clave:

 
 HKCUSOFTWAREyankee 
 yankee = 1

Si esta cadena ya existe, el gusano cesa todas las actividades.

El script yankee.vbs hace lo siguiente:

Envía el archivo ip.txt con la dirección IP de la computadora infectada y todas las contraseñas encontradas en el sistema (usando PassDumper) a la siguiente dirección de correo electrónico:
```
  xdvirus@peoplemail.com.cn 
 
```
Envía su archivo "página web.RAR" a todas las direcciones que se encuentran en la libreta de direcciones de MS Outlook.
Escribe la siguiente cadena de clave en el Registro del sistema de Windows:
```
 HKCUSOFTWAREyankee 
 yankee = 1 
 
```
Elimina todas las carpetas accesibles que no son del sistema en unidades duras y extraíbles.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Yanker es un virus gusano multicomponente muy peligroso que se propaga a través de Internet como un archivo RAR adjunto a correos electrónicos infectados. Los correos electrónicos infectados contienen: Asunto: Hola, mi nueva página web; o) Cuerpo del correo electrónico: Hola: Aquí está mi nueva página web. Por favor, verifíquela y bríndeme algunos consejos. Nombre del archivo adjunto: webpage.rar El archivo RAR contiene el archivo webpage.htm y un subcatalogo llamado imágenes donde se almacenan los componentes principales de este virus: folder.htt (controla la configuración de visualización de archivos y carpetas de MS Explorer - attributes: system / hidden) main_59.exe (archivo dropper, escrito en Delphi, empaquetado por UPX (57KB), atributos: system / hidden) main_60.exe (PSW.PassDumper, lleno de UPX (20k) - atributos: sistema / oculto) La carpeta de imágenes también contiene varios archivos inofensivos en varios formatos, como gif, css y más. Estos archivos son componentes de una página web. Instalación, difusión, carga útil Después de desarchivar el archivo RAR infectado, el gusano yanker puede obtener el control del sistema de un usuario de dos maneras: cuando se abre el archivo webpage.htm o cuando se ve la carpeta de imágenes usando MS Explorer. Sin embargo, en ambos casos, el gusano yanker utiliza el mismo exploit CodeBaseExec , adjunto al final de los archivos para lanzarse. El archivo (programa) main_59.exe se ejecuta sin que los usuarios de la víctima puedan notar nada. El programa main_59.exe determina la dirección IP actual de la computadora infectada y la almacena en un archivo txt ( ip.txt ). Luego extrae y ejecuta el componente principal del gusano, yankee.vbs , un archivo de 4 KB de tamaño y escrito con Visual Basic Script. Simultáneamente, el gusano comprueba el registro del sistema para la siguiente cadena clave: HKCUSOFTWAREyankee yankee = 1 Si esta cadena ya existe, el gusano cesa todas las actividades. El script yankee.vbs hace lo siguiente: Envía el archivo ip.txt con la dirección IP de la computadora infectada y todas las contraseñas encontradas en el sistema (usando PassDumper) a la siguiente dirección de correo electrónico: xdvirus@peoplemail.com.cn Envía su archivo "página web.RAR" a todas las direcciones que se encuentran en la libreta de direcciones de MS Outlook. Escribe la siguiente cadena de clave en el Registro del sistema de Windows: HKCUSOFTWAREyankee yankee = 1 Elimina todas las carpetas accesibles que no son del sistema en unidades duras y extraíbles.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Yanker

Detalles técnicos