Virusas plinta el. paštu kaip RAR failas.
Internete surastas ypač pavojingas virusas-kirminas “Yanker”. Tinklu jis šliaužia labai gudriai - pasinaudodamas RAR archyvo failu, prisegtu laiškų.
Laiško antraštė: Hi, my new webpage
Laiško tekstas: Hi: Here is my new webpage.Please check it, and give Me some Advice.
Prisegtas failas: webpage.rar
Pagrindiniai viruso komponentai yra RAR archyvo faile "webpage.htm" ir kataloge "images".
Kai vartotojas išpakuoja viruso archyvą, kirminas “MS Explorer” pradeda veikti atidarius failą "webpage.htm" arba "images". Abiem atvejais viruso paleidimui panaudojamas tas pats eksploitas "CodeBaseExec", esantis failų gale.
Jis paleidžia failas "main_59.exe", kuris įrašo kompiuterio IP adresą į failą ip.txt, ir pagrindinis kirmino komponentas - failas "yankee.vbs".
Šis failas sukurtas “Visual Basic Script” programa ir yra 4 Kb dydžio.
Paleistas “skriptas” "yankee.vbs" nusiunčia adresu "xdvirus@peoplemail.com.cn" laišką, kuriame yra patalpinti visi kompiuteryje surasti slaptažodžiai (panaudojant “PassDumder”) и failas "ip.txt" ir užkrėsto kompiuterio IP adresas.
Archyvas "webpage.rar" yra nusiunčiamas visais adresų knygoje “Outlook” rastais elektroniniais adresais.
Į “Windows” sisteminį registrą įrašomas raktas: HKCU\SOFTWARE\yankee yankee = 1. Kirminas taip pat ištrina visus kietuose diskuose pasiekiamus (ne sisteminius) katalogus.
Aplankykite įvairiapusės informacijos apsaugos portalą
http://security.5ci.lt
Šaltinis:
Kopijuoti, platinti, skelbti bet kokią portalo News.lt informaciją be raštiško redakcijos sutikimo draudžiama.