別名:W32/Yaha.k [McAfee],I-Worm.Lentin.i [KAV],Win32/Yaha.K@mm [GeCAD],W32/Yaha-K [Sophos],Win32.Yaha.K [CA],W32/Yaha.M-mm [MessageLabs]
感染長度:34,304 bytes
受感染的系統:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP
由於提交次數的增加,Symantec 安全回響中心自 2002 年 12 月 30 日起,將此威脅的級別從 2 類提升為 3 類。
此威脅用 Microsoft C++ 語言編寫,用 UPX 壓縮。壓縮以前的大小約為 75 KB。
防毒工具
Symantec 提供了殺除 W32.Yaha.K@mm 的工具。單擊此處可獲得此工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 12 月 30 日
* 病毒定義(智慧型更新程式) 2002 年 12 月 26 日
威脅評估
廣度
* 廣度級別:Low
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分布:High
* 威脅抑制:Easy
* 清除:Moderate
損壞
* 損壞級別:Medium
* 大規模傳送電子郵件:Emails itself to all the addresses it finds by searching the Windows Address Book,MSN Messenger,.NET Messenger,Yahoo Pager,and all the files whose extensions contain the letters HT
* 降低性能:Attempts to perform a Denial of Service against a Pakistani Web site
* 危及安全設定:Terminates some antivirus and firewall processes
分發
* 分發級別:High
* 電子郵件的主題:Varies
* 附屬檔案名稱:Varies
* 附屬檔案大小:34,304 bytes
W32.Yaha.K@mm 運行時會執行下列操作:
⒈ 將自身複製為下列檔案,並將檔案的屬性設定為隱藏:
o C:\%System%\WinServices.exe
o C:\%System%\Nav32_loader.exe
o C:\%System%\Tcpsvs32.exe
注意:%System% 是一個變數。該蠕蟲會找到 Windows 系統資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows 2000/NT/) 或 C:\Windows\System32 (Windows XP)。
⒉ 它會將值:
添加到以下註冊表鍵中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
CurrentVersion\RunServices
這樣,此蠕蟲便可在 Windows 啟動時運行。
⒊ 此蠕蟲將自身配置為在每次運行 .exe 檔案時運行,其方法是將註冊表鍵
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 的默認值更改為
C:\%System%\Nav32_loader.exe"%1 %*
⒋ 此蠕蟲可能還會將自身作為下列檔案之一複製到 \Windows\System 資料夾中:
o Hotmail_hack.exe
o Friendship.scr
o World_of_friendship.scr
o Shake.scr
o Sweet.scr
o Be_happy.scr
o Friend_finder.exe
o I_like_you.scr
o Love.scr
o Dance.scr
o Gc_messenger.exe
o True_love.scr
o Friend_happy.scr
o Best_friend.scr
o Life.scr
o Colour_of_life.scr
o Friendship_funny.scr
o Funny.scr
⒌ 此蠕蟲會嘗試結束防病毒和防火牆進程。它清點活動進程,如果進程的名稱中包含下列內容之一,便會嘗試結束該進程:
o REGEDIT
o ACKWIN32
o F-AGNT95
o SWEEP95
o VET95
o N32SCANW
o _AVPM
o LOCKDOWNADVANCED
o NSPLUGIN
o NSCHEDNT
o NRESQ32
o NPSSVC
o NOD32
o _AVPCC
o _AVP32
o NORTON
o NVC95
o FP-WIN
o IOMON98
o PCCWIN98
o F-PROT95
o F-STOPW
o PⅥEW95
o NAVWNT
o NAVRUNR
o NAVLU32
o NAVAPSVC
o NISUM
o SYMPROXYSVC
o RESCUE32
o NISSERV
o VSECOMR
o VETTRAY
o TDS2-NT
o TDS2-98
o SCAN32
o PCFWALLICON
o NSCHED32
o IAMSERV.EXE
o FRW.EXE
o MCAFEE
o ATRACK
o IAMAPP
o LUCOMSERVER
o LUALL
o NMAIN
o NAVW32
o NAVAPW32
o VSSTAT
o VSHWIN32
o AVSYNMGR
o AVCONSOL
o WEBTRAP
o POP3TRAP
o PCCMAIN
o PCCIOMON
o ESAFE.EXE
o AVPM.EXE
o AVPCC.EXE
o AMON.EXE
o ALERTSVC
o ZONEALARM
o AVP32
o LOCKDOWN2000
o AVP.EXE
o CFINET32
o CFINET
o ICMON
o RMVTRJANSAFEWEB
o WEBSCANX
o PⅥEW
o ANTIⅥR
另外,如果感染的計算機是 Windows NT/2000/XP 系統,蠕蟲會自動從記憶體中關閉 Windows 任務管理器。
⒍ 試圖對網站 www.infopak.gov.pk 進行拒絕服務(DoS)攻擊。
電子郵件例程詳細信息
它試圖利用受感染計算機的默認 SMTP 伺服器來傳送郵件。如果找不到此信息,會使用已作為硬編碼編入自身內部的眾多 SMTP 伺服器地址中的一個。所傳送的電子郵件具有下列特徵:
主題:主題為下面列出的某一個:
郵件正文:郵件正文可能為下面列出的某一個:
附屬檔案:附屬檔案為下列檔案之一:
發件人:“發件人”欄位中是虛假電子郵件地址,由下列內容:
如果系統日期為 3 月 25 日或 5 月 22 日,則蠕蟲會顯示下列信息,並交換滑鼠左鍵和右鍵的功能:
如果系統日期為星期四,蠕蟲會執行下列操作:
⒈ 隨機地將註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
中 Start Page 值的數值數據更改為下列值之一:
+ http:/ /www.unixhideout.com
+ http:/ /www.hirosh.tk
+ http:/ /www.neworder.box.sk
+ http:/ /www.blacksun.box.sk
+ http:/ /www.coderz.net
+ http:/ /www.hackers.com/html/neohaven.html
+ http:/ /www.ankitfadia.com
+ http:/ /www.hrvg.tk
+ http:/ /www.hackersclub.up.to
+ http:/ /geocities.com/snak33y3s
或一個近似的網址。
⒉ 從以下註冊表鍵中檢索出存放當前用戶文檔的資料夾所在的位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
然後,將此資料夾、此資料夾中的所有子資料夾以及此資料夾及其子資料夾中的所有檔案的屬性設定為隱藏。通常,此資料夾為 \My Documents 資料夾。
⒊ 在 Windows 桌面上創建文本檔案 YeHS.txt。檔案的屬性設定為隱藏和存檔。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:如果蠕蟲尚未運行,且 Symantec 防病毒產品在電子郵件中或蠕蟲試圖運行時檢測到 W32.Yaha.K@mm,只需刪除它即可。
防毒工具
Symantec 提供了殺除 W32.Yaha.K@mm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。
手動防毒
如果蠕蟲已運行,請執行下列操作:
⒈ 通過“智慧型更新程式”下載更新的病毒定義,但不要安裝。
⒉ 以安全模式重新啟動計算機。
⒊ 將 Regedit.exe 複製為 Reg.com。
⒋ 編輯註冊表,撤消蠕蟲所做的更改。
⒌ 啟動 Symantec 防病毒軟體。如果該軟體無法啟動或運行不正常,請重新安裝。
⒍ 安裝先前(步驟 1)下載的智慧型更新程式病毒定義。
⒎ 運行完整的系統掃描,並刪除檢測為 W32.Yaha.K@mm 的檔案。
⒈ 下載病毒定義
使用“智慧型更新程式”下載病毒定義。將檔案保存到 Windows 桌面上。這是必須執行的第一步操作,它確保在後續的防毒過程中使用的是最新的病毒定義。智慧型更新程式病毒定義可從以下地址獲得:http://securityresponse.symantec.com/avcenter/defs.download.html。
有關如何從 Symantec 安全回響中心網站下載並安裝智慧型更新程式病毒定義的詳細指導,請參閱文檔:如何使用智慧型更新程式更新病毒定義檔案。
警告:不要在此刻安裝病毒定義。只需下載即可。
⒉ 以安全模式重新啟動計算機
a. 關閉計算機,關掉電源。等待 30 秒。請不要跳過此步驟。
b. 除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關指導,請參閱文檔:如何以安全模式啟動計算機。
⒊ 將 Regedit.exe 複製為 Reg.com
由於蠕蟲修改了註冊表,使您不能運行 .exe 檔案,所以必須首先生成註冊表編輯器程式檔案的副本,並將其擴展名改成 .com,然後再運行該檔案。
⒈ 根據您運行的作業系統,執行下面相應的操作:
+ Windows 95/98 用戶:單擊“開始”,指向“程式”,然後單擊“MS-DOS 方式”。(這將打開 DOS 視窗,提示符為 C:\WINDOWS\。)繼續執行此部分的步驟 2。
a. 單擊“開始”,然後單擊“運行”。
b. 鍵入下列命令,然後按 Enter 鍵:
command
將打開 MS-DOS 視窗。
c. 鍵入下列命令,然後按 Enter 鍵:
cd \winnt
d. 繼續執行此部分的步驟 2。
+ Windows XP:
a. 單擊“開始”,然後單擊“運行”。
b. 鍵入下列命令,然後按 Enter 鍵:
command
c. 在打開的 DOS 視窗中鍵入下列命令(每鍵入一行便按 Enter 鍵):
cd\
cd \windows
d. 繼續執行此部分的步驟 2。
⒉ 鍵入下列命令,然後按 Enter 鍵:
copy regedit.exe reg.com
⒊ 鍵入下列命令,然後按 Enter 鍵:
start reg.com
(註冊表編輯器將出現在 DOS 視窗前面。)編輯完註冊表後,退出註冊表編輯器,然後退出 DOS 視窗。只有在完成上述步驟之後,才可繼續進行下一部分“編輯註冊表,撤消蠕蟲所做的更改”。
⒋ 編輯註冊表,撤消蠕蟲所做的更改
警告:Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
⒈ 導航至以下鍵並選擇該鍵:
警告:HKEY_LOCAL_MACHINE\Software\Classes 鍵中包含許多引用了其他檔案擴展名的子鍵。其中之一是 .exe。更改此擴展名可阻止擴展名為 .exe 的檔案運行。請確保是沿著此路徑瀏覽到 \command 子鍵的。
⒉ 雙擊右窗格中的“(默認)”值。
⒊ 刪除當前值數據,然後鍵入 "%1" %*(即鍵入下列字元:引號、百分號、1、引號、空格、百分號、星號)。
注意:
+ 在 Windows 2000/XP 系統中,不會顯示附加的引號。單擊“確定”後,“(默認)”值應如下所示:
"%1" %*
+ 在鍵入正確的數據前,請確保已完全刪除 command 鍵中的所有值數據。如果在鍵的開頭不小心留了一個空格,則嘗試運行任何程式檔案時都將產生錯誤訊息“Windows 找不到 .exe”。如果出現這種情況,請重新從此文檔的開頭進行檢查,並確保完全刪除當前值數據。
⒋ 依次導航至下列每個鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
注意:並非所有系統上都存在 RunServices 鍵。
⒌ 在右窗格中,刪除下列值
WinServices C:\%System%\WinServices.exe
⒍ 退出註冊表編輯器。
⒌ 啟動 Symantec 防病毒軟體
從 Windows 桌面上的捷徑圖示或從“開始”選單啟動 Symantec 防病毒程式。如果程式無法啟動,或運行步驟 8 中的掃描時出現問題,請從安裝檔案或光碟重新安裝該軟體。
警告:如果必須重新安裝 Symantec 防病毒程式,請在繼續下一步之前,以安全模式重新啟動計算機。
⒍ 安裝智慧型更新程式病毒定義
雙擊在步驟 1 中下載的檔案。出現提示時,單擊“是”或“確定”。
⒎ 掃描和刪除受感染檔案
⒈ 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
+ Norton AntiVirus 單機版產品:請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
+ Symantec AntiVirus 企業版產品:請閱讀文檔:如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
⒉ 運行完整的系統掃描。
⒊ 如果有任何檔案被檢測為感染了 W32.Yaha.K@mm,請單擊“刪除”。
完成後,重新啟動計算機,使其正常啟動。
描述者:Robert X Wang
