ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Yanker

Clase Email-Worm
Plataforma Win32
Descripción

Detalles técnicos

Yanker es un virus gusano multicomponente muy peligroso que se propaga a través de Internet como un archivo RAR adjunto a correos electrónicos infectados.

Los correos electrónicos infectados contienen:

 Asunto: Hola, mi nueva página web; o) 
 Cuerpo del correo electrónico: Hola: 
 Aquí está mi nueva página web. Por favor, verifíquela y bríndeme algunos consejos. 
 Nombre del archivo adjunto: webpage.rar 
 

El archivo RAR contiene el archivo webpage.htm y un subcatalogo llamado imágenes donde se almacenan los componentes principales de este virus:

folder.htt (controla la configuración de visualización de archivos y carpetas de MS Explorer - attributes: system / hidden) 
main_59.exe (archivo dropper, escrito en Delphi, empaquetado por UPX (57KB), atributos: system / hidden) 
main_60.exe (PSW.PassDumper, lleno de UPX (20k) - atributos: sistema / oculto) 

La carpeta de imágenes también contiene varios archivos inofensivos en varios formatos, como gif, css y más. Estos archivos son componentes de una página web.

Instalación, difusión, carga útil
Después de desarchivar el archivo RAR infectado, el gusano yanker puede obtener el control del sistema de un usuario de dos maneras: cuando se abre el archivo webpage.htm o cuando se ve la carpeta de imágenes usando MS Explorer.

Sin embargo, en ambos casos, el gusano yanker utiliza el mismo exploit CodeBaseExec , adjunto al final de los archivos para lanzarse. El archivo (programa) main_59.exe se ejecuta sin que los usuarios de la víctima puedan notar nada.

El programa main_59.exe determina la dirección IP actual de la computadora infectada y la almacena en un archivo txt ( ip.txt ). Luego extrae y ejecuta el componente principal del gusano, yankee.vbs , un archivo de 4 KB de tamaño y escrito con Visual Basic Script. Simultáneamente, el gusano comprueba el registro del sistema para la siguiente cadena clave:

 
 HKCUSOFTWAREyankee 
 yankee = 1 
 

Si esta cadena ya existe, el gusano cesa todas las actividades.

El script yankee.vbs hace lo siguiente:

  • Envía el archivo ip.txt con la dirección IP de la computadora infectada y todas las contraseñas encontradas en el sistema (usando PassDumper) a la siguiente dirección de correo electrónico:
      xdvirus@peoplemail.com.cn 
     
  • Envía su archivo "página web.RAR" a todas las direcciones que se encuentran en la libreta de direcciones de MS Outlook.
  • Escribe la siguiente cadena de clave en el Registro del sistema de Windows:
     HKCUSOFTWAREyankee 
     yankee = 1 
     
  • Elimina todas las carpetas accesibles que no son del sistema en unidades duras y extraíbles.

Enlace al original