Портал ISRAland - израильские новости

9 Июля 2025 [13 Таммуза, 5785 г.] В Иерусалиме

Разделы новостей

Новости раздела

06:45 08/07
«Nvidia» расширит присутствие в Израиле

12:27 04/07
Технологические компании получили рекордное финансирование

12:17 03/07
МУС стал целью кибератаки

09:14 23/06
Подтверждено: иранцы сбили израильский дрон

08:11 19/06
От иранцев требуют удалить «WhatsApp»

09:44 17/06
Израильтяне столкнулись с проблемами в Париже

Все новости раздела

Новости без политики

Закрыть список [X]

Список разделов новостей

Новый червь Yarner замещает Notepad.exe своей копией и может стереть все на жестком диске

Раздел: Технологии

20.02.2002 | 10:17

"Лаборатория Касперского" сообщает об обнаружении опасного червя Yarner, распространяющегося в виде файлов, прикрепленных к электронным письмам. Червяк является Windows-приложением, и имеет весьма солидные для вредоносной программы размеры - 434 Кбайта. Написан на Delphi.

Зараженные письма содержат в поле "From:" либо настоящий адрес отправителя, либо ложный адрес:

Trojaner-Info [%TrueEmail%] или Trojaner-Info [webmaster@trojaner-info.de]
Имя вложения: yawsetup.exe
Тема письма: Trojaner-Info Newsletter и указание даты.

В теле письма - длинный текст на немецком, начинающийся со слов:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und...

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции Yarner копирует себя со случайным именем (до 100 символов) в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра.

Червь также в каталоге Windows переименовывает файл NOTEPAD.EXE в имя NOTEDPAD.EXE и замещает "настоящий" NOTEPAD.EXE своей копией.

Червь также создаёт два дополнительных файла в каталоге Windows - kerneI32.daa, куда он записывает адреса электронной почты и kerneI32.das, куда записываются адреса известных червю SMTP-серверов. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Адреса, по которым рассылаются письма, определяются либо считыванием всех адресов из адресной книги MS Outlook, либо поиском в каталоге Windows и подкаталогах строк-адресов в файлах с расширениями .PHP, .HTM, .SHTM, .CGI, .PL

После рассылки писем с вероятностью 1/10 червь уничтожает все файлы на диске, на котором установлена Windows.

Читайте последние новости раздела "Технологии":
«Nvidia» расширит присутствие в Израиле →
Технологические компании получили рекордное финансирование →
МУС стал целью кибератаки →
Подтверждено: иранцы сбили израильский дрон →
От иранцев требуют удалить «WhatsApp» →
Израильтяне столкнулись с проблемами в Париже →

Если вы заметили орфографическую ошибку,
выделите ее мышью и нажмите Ctrl+Enter

Компьюлента

В сети начался массовый взлом и кража номеров ICQ

Следующая
новость
раздела

Valcard - червь, маскирующийся под поздравление с днем св. Валентина

Предыдущая
новость
раздела

Другие новости

Новости партнеров

Американские новости

Последние новости ISRA.com

Матан Кахана ушел из Кнессета

Израиль передает Украине гуманитарную помощь

Акции «SolarEdge» подорожали на 39%

Последствия хуситской атаки

Израиль рассчитывает на поддержку США

Антисемит остался без австралийской визы

Объявления на ISRA.com

Добавить объявление

Если вы заметили орфографическую ошибку, выделите ее мышью и нажмите Ctrl+Enter
Любое использование материалов запрещено без письменного разрешения редакции.
При перепечатке гиперссылка на Израильские Новости обязательна.
ISRAland Online Ltd. 1999 - 2025 © Все права защищены.
Лицензионное соглашение
Ограничение использования материалов агентства Associated Press