25 kwietnia 2003

I-Worm.Yanker - usuwa foldery

Jest to bardzo niebezpieczny, wieloskładnikowy robak. Rozprzestrzenia się przez internet jako zainfekowane archiwum RAR załączony do wiadomości e-mail.

Zainfekowane wiadomości e-mail posiadają następujące pola:

Temat: Hi,my new webpage ;o)

Treść:

Hi:
Here is my new webpage. Please check it, and give Me some Advice.

Nazwa załącznika: webpage.rar

Zainfekowane archiwum RAR zawiera plik "webpage.htm" oraz folder "images", w którym zapisane są składniki robaka:

  • folder.htt - moduł kontrolujący Eksploratora Windows oraz właściwości wyświetlania folderów, atrybuty pliku: ukryty/systemowy,
  • main_59.exe - moduł instalacyjny o rozmiarze około 57 KB (kompresja UPX) stworzony przy pomocy środowiska programistycznego Delphi, atrybuty pliku: ukryty/systemowy,
  • main_60.exe - koń trojański kradnący hasła PSW.PassDumper o rozmiarze około 20 KB (kompresja UPX), atrybuty pliku: ukryty/systemowy.

Folder "images" zawiera także kilka nieszkodliwych plików w różnych formatach (GIF, CSS i innych) będącymi składnikami strony WWW.

Instalacja, rozprzestrzenianie oraz funkcje dodatkowe

Po rozpakowaniu zainfekowanego archiwum RAR robak może przejąć kontrolę nad systemem w dwóch przypadkach: po otwarciu pliku "webpage.htm" lub podczas przeglądania zawartości foldera "images" za pomocą Eksploratora Windows.

W obydwu przypadkach robak wykorzystuje tę samą metodę penetracji systemu, której rezultatem jest uruchomienie składnika "main_59.exe" bez informowania o tym użytkownika. Uruchomiony moduł sprawdza numer IP zainfekowanego komputera i zapisuje go w pliku "ip.txt". Następnie uruchamiany jest główny moduł robaka - "yankee.vbs". Jednocześnie szkodnik szuka w rejestrze systemowym następującego klucza:

HKCU\SOFTWARE\yankee
yankee=1
.

Jeżeli taki klucz znajduje się w rejestrze robak przerywa swoje działanie. Skrypt "yankee.vbs" wykonuje następujące operacje:

  • wysyła plik "ip.txt" oraz wszystkie hasła znalezione w zainfekowanym systemie pod adres xdvirus@peoplemail.com.cn,
  • wysyła archiwum "webpage.rar" do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook,
  • zapisuje w rejestrze systemowym następujący klucz:
    HKCU\SOFTWARE\yankee
    yankee=1
    ,
  • usuwa wszystkie foldery (poza systemowymi) zapisane na wszystkich napędach podłączonych do zainfekowanego komputera.