| 枫林在线论坛>>信息安全 [普通模式] [上一主题] [下一主题] |
| [54816] 主题: 警惕:多组件含病毒的RAR文件蠕虫 |
| 作者: leaflet |
标题:  警惕:多组件含病毒的RAR文件蠕虫[转载] |
|
| 昵称: Leaf |
来自: 218.80.*.* 
|
|
| 经验值: 53146 | 发贴时间: 2003年05月04日 14:11:15 | |
| 等级: ☆☆☆☆☆ | 长度: 1086字 | |
|
在网上出现了非常危险的多组件的蠕虫病毒Yanker。它很狡猾地在网络中传播——以信 件附件中的RAR压缩文件形式。 被感染信件的标题:Hi,my new webpage ;o) 正文:Hi:Here is my new webpage.Please check it,and give Me some Advice. 附件名: webpage.rar 压缩文件RAR包含了文件"webpage.htm" 和包含得有病毒主要组件的子目 录 "images" 当用户把病毒压缩文件展开后,病毒可以通过两种方式得到控制权:打开"we bpage.htm"文件或者通过MS Explorer浏览"images"目录。 在两种情况下,蠕虫都使用置于文件末尾的"CodeBaseExec" exploit 来 激活自己。通过其来运行文件"main_59.exe"。 该文件把当前电脑的IP地址记录到ip.txt文件中,并从自身中展出并执行蠕虫的主 要组件——文件"yankee.vbs"。该文件是用Visual Basic Script写成的,大 约4k。脚本"yankee.vbs"在执行时完成以下行为:往"xdvirus@people mail.com.cn"发送信件,其中写上所有找到的密码(通过PassDumder工具),并附 上受害电脑的"ip.txt"。向MS Outlook地址薄中所有的地址发送"webp age.rar"压缩文件。在Windows的注册表中,写下HKCU\SOFTWARE\yankee yankee = 1 ,删去所有在硬盘和移动盘上的可以被删除的(非系统)目录。 |
||
|
========== * * * * * ==========
|
 Top
|
||