В архивах RAR может скрываться опасный вирус

26.04.2003, 13:21

В Интернет обнаружен чрезвычайно опасный многокомпонентный вирус-червь Yanker. "Ползет" он по сети довольно хитрым способом - в виде архива RAR, прикрепленного к зараженным письмам.

Зараженные письма содержат: Заголовок: Hi,my new webpage ;o)

Текст письма: Hi: Here is my new webpage.Please check it,and give Me some Advice.

Имя вложения: webpage.rar

Архив RAR содержит в себе файл "webpage.htm" и подкаталог "images", в котором содержатся основные компоненты вируса.

После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла "webpage.htm" или при просмотре каталога "images" при помощи MS Explorer.

В обоих случаях червь использует для своего запуска один и тот же эксплойт "CodeBaseExec", встроенный в конец файлов. При помощи него запускается на исполнение файл "main_59.exe".

Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает основной компонент червя - файл "yankee.vbs". Этот файл написан на Visual Basic Script и имеет размер около 4к. Скрипт "yankee.vbs" при запуске осуществляет следующие действия: Отсылает на адрес "xdvirus@peoplemail.com.cn" письмо, в которое помещает все обнаруженные пароли (при помощи утилиты PassDumder) и вложение "ip.txt" с IP-адресом пораженного компьютера. Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив "webpage.rar". Записывает в системный реестр Windows ключ: HKCUSOFTWAREyankee yankee = 1 Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского(R). Более подробное описание Yanker доступно в Вирусной Энциклопедии Касперского. Об этом сообщает "Лаборатория Касперского".

Читайте також