Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Очень опасный многокомпонентный вирус-червь. Распространяется через интернет в виде архива RAR,
прикрепленного к зараженным письмам.

Зараженные письма содержат:

Заголовок: Hi,my new webpage ;o)

Текст письма: Hi:
Here is my new webpage.Please check it,and give Me
some Advice.

Имя вложения: webpage.rar

Архив RAR содержит в себе файл “webpage.htm” и подкаталог “images”, в котором содержатся основные
компоненты вируса:

folder.htt (файл настройки отображения файлов и папок MS Explorer, имеет атрибуты “скрытый/системный”)
main_59.exe (дроппер червя, написан на Delphi, упакован UPX (57k), имеет атрибут “скрытый/системный”)
main_60.exe (утилита PSW.PassDumper, упакован UPX (20k), имеет атрибут “скрытый/системный”)

Кроме того, в каталоге “images” содержится ряд безобидных файлов разных форматов (gif, css),
представляющих собой элементы оформления html-страницы.

Размножение

После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла “webpage.htm” или при просмотре каталога “images” при помощи MS Explorer.

В обоих случаях червь использует для своего запуска один и тот же эксплойт “CodeBaseExec”, встроенный в конец файлов. При помощи него запускается на исполнение файл “main_59.exe”.

Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает
основной компонент червя – файл “yankee.vbs”. Этот файл написан на Visual Basic Script и имеет размер
около 4к. Кроме того, проверяется наличие в системном реестра ключа:

HKCUSOFTWAREyankee
yankee = 1

Если ключ существует – червь прекращает свою работу.

Скрипт “yankee.vbs” при запуске осуществляет следующие действия:

Отсылает на адрес “xdvirus@peoplemail.com.cn” письмо, в которое помещает все обнаруженные
пароли (при помощи утилиты PassDumder) и вложение “ip.txt” с IP-адресом пораженного компьютера.
Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив “webpage.rar”.
Записывает в системный реестр Windows ключ:

HKCUSOFTWAREyankee
yankee = 1
Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	Win32
Описание	Technical Details Очень опасный многокомпонентный вирус-червь. Распространяется через интернет в виде архива RAR, прикрепленного к зараженным письмам. Зараженные письма содержат: Заголовок: Hi,my new webpage ;o) Текст письма: Hi: Here is my new webpage.Please check it,and give Me some Advice. Имя вложения: webpage.rar Архив RAR содержит в себе файл “webpage.htm” и подкаталог “images”, в котором содержатся основные компоненты вируса: folder.htt (файл настройки отображения файлов и папок MS Explorer, имеет атрибуты “скрытый/системный”) main_59.exe (дроппер червя, написан на Delphi, упакован UPX (57k), имеет атрибут “скрытый/системный”) main_60.exe (утилита PSW.PassDumper, упакован UPX (20k), имеет атрибут “скрытый/системный”) Кроме того, в каталоге “images” содержится ряд безобидных файлов разных форматов (gif, css), представляющих собой элементы оформления html-страницы. Размножение После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла “webpage.htm” или при просмотре каталога “images” при помощи MS Explorer. В обоих случаях червь использует для своего запуска один и тот же эксплойт “CodeBaseExec”, встроенный в конец файлов. При помощи него запускается на исполнение файл “main_59.exe”. Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает основной компонент червя – файл “yankee.vbs”. Этот файл написан на Visual Basic Script и имеет размер около 4к. Кроме того, проверяется наличие в системном реестра ключа: HKCUSOFTWAREyankee yankee = 1 Если ключ существует – червь прекращает свою работу. Скрипт “yankee.vbs” при запуске осуществляет следующие действия: Отсылает на адрес “xdvirus@peoplemail.com.cn” письмо, в которое помещает все обнаруженные пароли (при помощи утилиты PassDumder) и вложение “ip.txt” с IP-адресом пораженного компьютера. Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив “webpage.rar”. Записывает в системный реестр Windows ключ: HKCUSOFTWAREyankee yankee = 1 Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.Win32.Yanker

Technical Details