JS/Yamanner

JS/YAMANNER gusano de correo en formato HTML contiene JavaScript que aprovecha vulnerabilidad de Yahoo Mail.

JS/Yamanner@mm

JS/Yamanner es un gusano reportado el 13 de Junio del 2006 que explota una vulnerabilidad del servicio de correo de Yahoo, enviando mensajes de correo masivo en formato HTML a todos los contactos de Yahoo Mail y Yahoogroups.

Es un JavaScript e infecta a Windows 98/NT/2000/Me/XP y Server 2003, con una extensión de 62KB y no está encriptado.

El mensaje tiene las siguientes características:

Remitente: aleatorio
Asunto: New Graphic Site
Contenido, uno de los siguientes:

Note: forwarded message attached
this is test

Al ser abierto el mensaje en formato HTML ejecuta el JavaScript y procede a capturar los contactos de correo con las extensiones:

@yahoo.com
@yahoo.es
@yahoogroups

luego se conecta al URL:

http://www.av3.net/index.htm

a donde enviará la lista de las direcciones capturadas.

El dominio AV3.NET (actualmente inhabilitado) está registrado con la siguiente información:

Shetabhost web develope & design center
Alireza Lavaei (Admin@ShetabHost.com)
+1.9055259140
Fax:
200 Bond St. North
Hamilton, ONTARIO L8S3W6
CA

Al parecer este portal habría sido capturado por el autor del gusano.

PER ANTIVIRUS® versión 9.7 con registro de virus al 13 de Junio del 2006 detecta y elimina este troyano/backdoor.