Класс | Email-Worm |
Платформа | Win32 |
Описание |
Technical DetailsОчень опасный многокомпонентный вирус-червь. Распространяется через интернет в виде архива RAR, Зараженные письма содержат:
Архив RAR содержит в себе файл “webpage.htm” и подкаталог “images”, в котором содержатся основные
folder.htt (файл настройки отображения файлов и папок MS Explorer, имеет атрибуты “скрытый/системный”)
Кроме того, в каталоге “images” содержится ряд безобидных файлов разных форматов (gif, css),
После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла “webpage.htm” или при просмотре каталога “images” при помощи MS Explorer. В обоих случаях червь использует для своего запуска один и тот же эксплойт “CodeBaseExec”, встроенный в конец файлов. При помощи него запускается на исполнение файл “main_59.exe”.
Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает
Если ключ существует – червь прекращает свою работу. Скрипт “yankee.vbs” при запуске осуществляет следующие действия:
|
Узнай статистику распространения угроз в твоем регионе |