Авторы
17 марта 2003 года была произведена массовая рассылка писем со ссылкой на троянскую программу «Greetyah». Троянец загружает из интернета файл и устанавливает его в ключе авто-запуска системного реестра.
Пример рассылаемого письма:
Date: Mon, 17 Mar 2003 14:57:57
From: replymsg@g1.gc.vip.sc5.yahoo.com
To: Ivan Petrov
Subject: Elena_M sent you a Yahoo! GreetingYahoo! Greetings
Surprise! You’ve just received a Yahoo! Greeting
from from «Elena_M» (elena_m@mail.ru)!To view this greeting card, click on the following
Web address at anytime within the next 30 days.
http://view.greetings.yahoo.com/greet/view?***********If that doesn’t work, go to http://view.greetings.yahoo.com/pickup
and copy and paste this code:BJWU37Y2S4A
Enjoy!
The Yahoo! Greetings Team
c 1996-2003 Yahoo! Greetings http://greetings.yahoo.com/
Программа написана на языке ассемблера. Размер файла 3072 байт. После старта программа выводит диалоговое окно:
Затем программа загружает исполняемый файл: sysman32.exe с сайта http://view-greetings-yahoo.com. Файл sysman32.exe содержит код другой троянской программы: Trojan.WebMoney.WMPatch.b
Процедуры защиты от данной вредоносной программы уже добавлены в очередное обновление базы данных Антивируса Касперского®.
Более подробное описание «Greetyah» доступно в Вирусной Энциклопедии Касперского.
Авторы
От тех же авторов
В той же категории
Троянец «Greetyah» в письмах, маскирующихся под открытки от Yahoo