Троянец «Greetyah» в письмах, маскирующихся под открытки от Yahoo

17 марта 2003 года была произведена массовая рассылка писем со ссылкой на троянскую программу «Greetyah». Троянец загружает из интернета файл и устанавливает его в ключе авто-запуска системного реестра.

Пример рассылаемого письма:

Date: Mon, 17 Mar 2003 14:57:57
From: replymsg@g1.gc.vip.sc5.yahoo.com
To: Ivan Petrov
Subject: Elena_M sent you a Yahoo! Greeting

Yahoo! Greetings
Surprise! You’ve just received a Yahoo! Greeting
from from «Elena_M» (elena_m@mail.ru)!

To view this greeting card, click on the following
Web address at anytime within the next 30 days.

http://view.greetings.yahoo.com/greet/view?***********

If that doesn’t work, go to http://view.greetings.yahoo.com/pickup
and copy and paste this code:

BJWU37Y2S4A

Enjoy!

The Yahoo! Greetings Team
c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/

Программа написана на языке ассемблера. Размер файла 3072 байт. После старта программа выводит диалоговое окно:

Затем программа загружает исполняемый файл: sysman32.exe с сайта http://view-greetings-yahoo.com. Файл sysman32.exe содержит код другой троянской программы: Trojan.WebMoney.WMPatch.b

Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Greetyah» доступно в Вирусной Энциклопедии Касперского.