Yahoo! Messenger viene attaccato da un nuovo Trojan

La principale minaccia del Trojan Yahmali è che Yahoo! Si tenta di ottenere nomi utente e password per il software Messenger e i servizi disponibili tramite esso.

La funzione principale del Trojan Yahmali è raccogliere il nome utente e la password forniti quando si utilizza il popolare servizio di messaggistica istantanea di Yahoo. Per fare ciò, il Trojan monitora costantemente l'attività dell'utente e, quando rileva che Yahoo! Messenger, verrà attivato immediatamente. Se riesci a ottenere le informazioni di accesso, queste verranno copiate su un server remoto su Internet.

Quando il Trojan Yahmali si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% Temp% \ services.exe
% Temp% \ LSASS.EXE
% Temp% \ SMSS.EXE
% Temp% \ CSRSS.EXE
% Temp% \ WINLOGON.EXE

2. Creare la seguente voce nel database di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”shell” = “explorer.exe “C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[NOME FILE TROJAN ORIGINALE].exe [caratteri casuali]”

3. Modificare le seguenti chiavi nel registro:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"HideFileExt" = "1"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = "0"

4. In attesa che l'utente acceda a Yahoo! Messenger e poi prova a ottenere il nome utente e la password che hai inserito. In caso di successo, invia i dati riservati a un server remoto.