警惕:出现很危险多组件含病毒的RAR文件蠕虫

发布时间：2019-05-21 05:07 所属栏目：[趣闻] 来源：本站整理

导读：,警惕:出现很危险多组件含病毒的RAR文件蠕虫

> 　　在网上出现了非常危险的多组件的蠕虫病毒Yanker。它很狡猾地在网络中传播——以信件附件中的RAR压缩文件形式。

　　被感染信件的标题：Hi,my new webpage ;o)

　　正文：Hi:Here is my new webpage.Please check it,and give Me some Advice.

　　附件名: webpage.rar

　　压缩文件RAR包含了文件"webpage.htm" 和包含得有病毒主要组件的子目录 "images"

　　当用户把病毒压缩文件展开后，病毒可以通过两种方式得到控制权：打开"webpage.htm"文件或者通过MS Explorer浏览"images"目录。

　　在两种情况下，蠕虫都使用置于文件末尾的"CodeBaseExec" exploit 来激活自己。通过其来运行文件"main_59.exe"。

　　该文件把当前电脑的IP地址记录到ip.txt文件中，并从自身中展出并执行蠕虫的主要组件——文件"yankee.vbs"。该文件是用Visual Basic Script写成的，大约4k。脚本"yankee.vbs"在执行时完成以下行为：往"xdvirus@peoplemail.com.cn"发送信件，其中写上所有找到的密码（通过PassDumder工具），并附上受害电脑的"ip.txt"。向MS Outlook地址薄中所有的地址发送"webpage.rar"压缩文件。在Windows的注册表中，写下HKCU\SOFTWARE\yankee yankee = 1 ，删去所有在硬盘和移动盘上的可以被删除的（非系统）目录。

金山毒霸安全资讯网

【免责声明】本站内容转载自互联网，其相关言论仅代表作者个人观点绝非权威，不代表本站立场。如您发现内容存在版权问题，请提交相关链接至邮箱：bqsm@foxmail.com，我们将及时予以处理。