W32.Yaha.E@mm

概述

發現： 2002 年 6 月 17 日
更新： 2007 年 2 月 13 日 11:49:38 AM
別名： W32.Yaha.D@mm, I-Worm.Lentin.e 【AVP】, W32/Yaha.e@MM 【McAfee】, W32/Yaha-D 【Sophos】, WORM_YAHA.D 【Trend】, Win32.Yaha.D 【CA】
類型: Worm
感染長度： 25,619 bytes
受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考： CVE-2001-0154
W32.Yaha.E@mm 是一種通過電子郵件大肆傳播的群發郵件蠕蟲，它會將自身傳送到 Microsoft Windows 通訊簿、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及擴展名包含字母 ht 的檔案中的所有電子郵件地址。此蠕蟲能隨機選擇電子郵件的主題和正文。此蠕蟲還會將自身複製到 Recycled 資料夾，或複製到 %Windows% 資料夾，這取決於 Recycled 資料夾的名稱。
此蠕蟲創建的檔案的名稱由六個隨機生成的數字組成。
防毒工具
Symantec 提供了殺除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。單擊此處可獲得該工具。
這是殺除這些蠕蟲的最簡便方法，應首先嘗試此方法。
注意：2002 年 6 月 18 日之前的病毒定義會將其檢測為 W32.Yaha.D@mm。
防護
* 病毒定義（每周 LiveUpdate™） 2002 年 6 月 19 日
* 病毒定義（智慧型更新程式） 2002 年 6 月 18 日

威脅評估

廣度
* 廣度級別： Medium
* 感染數量： 50 - 999
* 站點數量： More than 10
* 地理位置分布： Medium
* 威脅抑制： Easy
* 清除： Moderate
損壞
* 損壞級別： Medium
* 大規模傳送電子郵件： Sends itself to all email addresses that exist in the Microsoft Windows Address Book, the MSN Messenger List, the Yahoo Pager list, the ICQ list, and files that have extensions that contain the letters ht.
* 危及安全設定： It will attempt to terminate Anti-Virus and Firewall processes.
分發
* 分發級別： High
* 電子郵件的主題： randomly chosen from a long list of strings.
* 附屬檔案名稱： Randomly chosen, ending in a .bat, .pif or .scr file extension
* 附屬檔案大小： 25,619 bytes
如果 W32.Yaha.E@mm 運行，將執行下列操作：
試圖將自身傳送到 Windows 通訊簿檔案、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及擴展名包含字母 ht 的檔案中的所有電子郵件地址。然後將這些電子郵件地址存儲在檔案 \%Windows%\<six random numbers><six random numbers>.dll 中。
例如，如果六個隨機數字為 123456，檔案名稱將是 \%Windows%\123456123456.dll。
注意：%Windows% 是一個變數。蠕蟲會找到 \Windows 資料夾（默認位置是 C:\Windows 或 C:\Winnt），然後將自身複製到該位置。
蠕蟲會顯示幾行文本字元串，然後造成 Windows 桌面晃動，以掩蓋其活動。這樣做的目的是使其看似一個螢幕保護程式。顯示的文本字元串如下：
* U r so cute today #!#!
* True Love never ends
* I like U very much!!!
* U r My Best Friend
電子郵件例程詳細信息
URL：
蠕蟲運行自己的電子郵件例程時，它選擇的 URL 是將下列字元串之一：
screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker
與下列字元串組合：
.com、.org 或 .net
例如，它選擇的 URL 可能會是 Screensaver.com。
發件人：
“發件人”欄位是隨機選擇的電子郵件地址，可能不是合法的發件人。
主題：
W32.Yaha.E@mm 從下列字元串中隨機選擇主題：
"Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen Saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "¯"
正文：
正文將是：
<HTML><HEAD></HEAD><BODY>
後接：
<iframe src=3Dcid:【SomeCID】 height=3D0 width=3D0></iframe>
或
【nothing】
再後接：
<FONT></FONT>
後接：
【text that is gathered from .doc and .txt files on the infected computer.】
.
.
Check the attachment too..
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
或
Hi Dear
Check the Attachement ..
See u
<Infected Computer's Username>
----- Original Message -----
From: "Friendship" < friendshipscr@【URL constructed above】 >
To: < 【Infected User's e-mail Address】 >
Sent: Friday, May 11, 2002 8:38 PM
Subject: 【Subject constructed above】
再後接：
This e-mail is never sent unsolicited.If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.【URL constructed above】 to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you.If it comes back to you, then you'll know you
have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
http://【URL constructed above】/remove?freescreensaver
* Enter your email address (【infected user's e-mail address】) in the field provided and click "Unsubscribe".
或
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address 【infected user's e-mail address】
X-PMG-Recipient: 【Infected Username】
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
正文部分以如下標記結束：
</BODY></HTML>
附屬檔案：
附屬檔案可能是下列檔案名稱：
* loveletter
* resume
* biodata
* dailyreport
* mountan
* goldfish
* weeklyreport
* report
* love
後接：
* .doc
* .mp3
* .xls
* .wav
* .txt
* .jpg
* .gif
* .dat
* .bmp
* .htm
* .mpg
* .mdb
* .zip
擴展名是以下任意一種：
* .pif
* .bat
* .scr
蠕蟲使用自己的 SMTP 引擎。它會試圖利用受感染計算機的默認 SMTP 伺服器傳送郵件。如果找不到該信息，就使用硬編碼到蠕蟲中的若干 SMTP 伺服器地址之一來傳送郵件。
其它活動
除了傳送大量電子郵件，蠕蟲還會執行下列操作：
偶爾利用“Incorrect MIME header”漏洞，使病毒在未安裝修補程式的系統中自動執行。
試圖終止防病毒和防火牆進程。蠕蟲會列舉活動進程，如果進程名稱為以下名稱之一，則試圖終止該進程：
o SCAM32
o SIRC32
o WINK
o ZoneAlarm
o AVP32
o LOCKDOWN2000
o AVP.EXE
o CFINET32
o CFINET
o ICMON
o SAFEWEB
o WEBSCANX
o AntiVir
o MCAFEE
o NORTON
o NVC95
o FP-WIN
o IOMON98
o PCCWIN98
o F-PROT95
o F-STOPW
o PVIEW95
o NAVWNT
o NAVRUNR
o NAVLU32
o NAVAPSVC
o NISUM
o SYMPROXYSVC
o RESCUE32
o NISSERV
o atrack
o IAMAPP
o LUCOMSERVER
o LUALL
o NMAIN
o NAVW32
o NAVAPW32
o VSSTAT
o VSHWIN32
o avsynmgr
o avconsol
o WEBTRAP
o POP3TRAP
o PCCMAIN
o PCCIOMON
將自身複製到 Recycled 資料夾，或複製到 %Windows 資料夾，這取決於 Recycled 資料夾的名稱。檔案名稱由六個隨機數字組成。
將自身配置為在每次執行 .exe 檔案時執行，方法是將下列註冊表鍵的默認值
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
更改為
【WormName】" %1 %*
此外，還會在 Windows 資料夾中創建一個隨機命名的文本檔案，例如 【Random File Name】.txt。檔案包含下列內容：
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
w32.yAHa.D
aUThor :H^H,[email protected]oRigIN :inDia,kERala(gODs oWn cOUntrY)
kANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..
oRu sITe kITTiyirunnegggil.. hACk CHEyyyamayirunnuuu..
<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。
使用防毒工具防毒
Symantec 提供了殺除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。單擊此處可獲得該工具。這是殺除這些蠕蟲的最簡便方法，應首先嘗試此方法。
手動防毒步驟
1. 如果蠕蟲已運行，必須首先撤消蠕蟲對註冊表所做的更改。如果蠕蟲尚未運行，請轉至步驟 2。
1. 將 Windows 配置為顯示所有檔案。
2. 將 Regedit.exe 複製為 Regedit.com（在大多數情況下）。
3. 編輯註冊表，撤消蠕蟲所做的更改。
2. 更新病毒定義，運行完整的系統掃描，然後刪除被 NAV 檢測為 W32.Yaha.E 的所有檔案。
有關如何完成此操作的詳細指導，請參閱以下部分。
將 Windows 配置為顯示所有檔案：
1. 啟動 Windows 資源管理器。
2. 單擊“查看”選單 (Windows 95/98/NT) 或“工具”選單 (Windows Me/2000/XP)，然後單擊“選項”或“資料夾選項”。
3. 單擊“查看”選項卡。
4. 取消選中“隱藏已知檔案類型的擴展名”。
5. 執行下列操作之一：
* Windows 95/NT：單擊“顯示所有檔案”。
* Windows 98：在“高級設定”框的“隱藏檔案”資料夾下，單擊“顯示所有檔案”。
* Windows Me/2000/XP：取消選中“隱藏受保護的作業系統檔案”，並在“隱藏檔案和資料夾”資料夾下，單擊“顯示所有檔案和資料夾”。
6. 單擊“套用”，然後單擊“確定”。
將 Regedit.exe 複製為 Regedit.com：
由於蠕蟲修改了註冊表，使您不能運行 .exe 檔案，所以必須首先生成註冊表編輯器程式檔案的副本，並將其擴展名改成 .com，然後再運行該檔案。
1. 根據您運行的 Windows 版本，執行下列任一操作：
* Windows 95/98：單擊“開始”，指向“程式”，然後單擊“MS-DOS 方式”。
* Windows Me：單擊“開始”，指向“程式”，再指向“附屬檔案”，然後單擊“MS-DOS 方式”。
* Windows NT/2000/XP：
1. 單擊“開始”，然後單擊“運行”。
2. 鍵入下列內容，然後按 Enter 鍵：
command
將打開 DOS 視窗。
3. 鍵入下列內容，然後按 Enter 鍵：
cd \winnt
4. 繼續執行下一步驟。
2. 鍵入下列內容，然後按 Enter 鍵：
copy regedit.exe regedit.com
3. 鍵入下列內容，然後按 Enter 鍵：
start regedit.com
註冊表編輯器將出現在 DOS 視窗前面。編輯完註冊表之後，請退出註冊表編輯器，然後退出 DOS 視窗。
4. 只有在完成上述步驟之後，才可繼續進行下一部分“編輯註冊表，撤消蠕蟲所做的更改”。
編輯註冊表，撤消蠕蟲所做的更改：
警告：Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或檔案損壞。請只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。
1. 導航至並選擇下列鍵：
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
警告：HKEY_LOCAL_MACHINE\Software\Classes 鍵中包含許多引用了其它檔案擴展名的子鍵。其中之一是 .exe。更改此擴展名可使擴展名為 .exe 的檔案不能運行。請確保是沿著此路徑瀏覽到 \command 子鍵的。
修改下圖中所示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子鍵：
<<=== 注意：請修改此鍵。
2. 雙擊右窗格中的（默認）值。
3. 刪除當前值數據，然後鍵入 "%1" %*（即鍵入下列字元：引號、百分號、1、引號、空格、百分號、星號）。
注意：註冊表編輯器會自動將值放在引號中。單擊“確定”時，（默認）值應如下所示：
""%1" %*"
在鍵入正確的數據前，請確保已完全刪除 command 鍵中的所有值數據。如果在鍵的開頭不小心留了一個空格，則嘗試運行任何程式檔案時都將產生錯誤訊息“Windows 找不到 .exe”。如果出現這種情況，請重新從此文檔的開頭進行檢查，並確保完全刪除當前值數據。
4. 重新啟動計算機。
5. 如果尚未這樣做，請運行 Live Update，然後按照下一部分“使用 Norton AntiVirus 掃描並刪除受感染檔案”中的說明運行完整的系統掃描。
使用 Norton AntiVirus 掃描並刪除受感染檔案：
1. 獲得最新的病毒定義。可通過兩種方法獲得：
o 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。這些病毒定義經過 Symantec 安全回響中心的全面質量監控檢測，如果未遇重大病毒爆發情況，會每周在 LiveUpdate 伺服器上發布一次（一般為星期三）。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義 (LiveUpdate) 行。
o 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義已經過 Symantec 安全回響中心的全面質量監控檢測，會在工作日（周一至周五，美國時間）發布。必須從 Symantec 安全回響中心 Web 站點下載病毒定義，並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義（智慧型更新程式）行。
“智慧型更新程式” 病毒定義可從此處獲得。有關如何從 Symantec 安全回響中心 Web 站點下載和安裝“智慧型更新程式”病毒定義的詳細指導，請單擊此處。
2. 啟動 Norton AntiVirus (NAV)，並確保將 NAV 配置為掃描所有檔案。
o NAV 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案(英文)。
o NAV 企業版產品：請閱讀文檔：如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案（英文）。
3. 運行完整的系統掃描。
4. 刪除被 NAV 檢測為 W32.Yaha.E@mm 的所有檔案。
5.
描述者： Douglas Knowles