Бойтесь архивов RAR - в них может скрываться опасный вирус



В интернете обнаружен чрезвычайно опасный многокомпонентный вирус-червь Yanker. Ползет он по сети довольно хитрым способом - в виде архива RAR, прикрепленного к зараженным письмам.

Зараженные письма содержат:

Заголовок: Hi,my new webpage ;o)

Текст письма: Hi:
Here is my new webpage.Please check it,and give Me some Advice.

Имя вложения: webpage.rar

Архив RAR содержит в себе файл "webpage.htm" и подкаталог "images", в котором содержатся основные компоненты вируса.

После того как пользователь разархивировал вирусный архив, червь может получить управление двумя разными способами: при открытии файла "webpage.htm" или при просмотре каталога "images" при помощи MS Explorer.

В обоих случаях червь использует для своего запуска один и тот же эксплойт "CodeBaseExec", встроенный в конец файлов. При помощи него запускается на исполнение файл "main_59.exe".

Данный файл записывает текущий IP-адрес компьютера в файл ip.txt, извлекает из себя и запускает основной компонент червя - файл "yankee.vbs". Этот файл написан на Visual Basic Script и имеет размер около 4к. Скрипт "yankee.vbs" при запуске осуществляет следующие действия:

* Отсылает на адрес "xdvirus@peoplemail.com.cn" письмо, в которое помещает все обнаруженные пароли (при помощи утилиты PassDumder) и вложение "ip.txt" с IP-адресом пораженного компьютера.
* Отсылает по всем адресам электронной почты, найденным в адресной книге MS Outlook, свой архив "webpage.rar".
* Записывает в системный реестр Windows ключ:

HKCU\SOFTWARE\yankee yankee = 1

* Удаляет все доступные (не системные) каталоги на жестких и съемных дисках.