標籤: 暫無標籤

 

1 W32.Yaha.K@mm -概述

發現: 2002 年 12 月 24 日
更新: 2007 年 2 月 13 日 11:42:22 AM
別名: W32/Yaha.k 【McAfee】, I-Worm.Lentin.i 【KAV】, Win32/Yaha.K@mm 【GeCAD】, W32/Yaha-K 【Sophos】, Win32.Yaha.K 【CA】, W32/Yaha.M-mm 【MessageLabs】
類型: Worm
感染長度: 34,304 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


由於提交次數的增加,Symantec 安全響應中心自 2002 年 12 月 30 日起,將此威脅的級別從 2 類提升為 3 類。

W32.Yaha.K@mm 蠕蟲是 W32.Yaha.J@mm 的變種。此蠕蟲會終止某些防病毒和防火牆進程。它利用自身的 SMTP 引擎將自身通過電子郵件的形式發送給 Windows 通訊簿、MSN Messenger、.NET Messenger、Yahoo pager 以及擴展名中包含字母 HT 的所有文件中的所有聯繫人。此電子郵件隨機地選擇主題、郵件正文以及附件名稱。

此威脅用 Microsoft C++ 語言編寫,用 UPX 壓縮。壓縮以前的大小約為 75 KB。

殺毒工具
Symantec 提供了殺除 W32.Yaha.K@mm 的工具。單擊此處可獲得此工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。
防護

    * 病毒定義(每周 LiveUpdate™) 2002 年 12 月 30 日
    * 病毒定義(智能更新程序) 2002 年 12 月 26 日

2 W32.Yaha.K@mm -威脅評估

廣度

    * 廣度級別: Low
    * 感染數量: More than 1000
    * 站點數量: More than 10
    * 地理位置分佈: High
    * 威脅抑制: Easy
    * 清除: Moderate

損壞

    * 損壞級別: Medium
    * 大規模發送電子郵件: Emails itself to all the addresses it finds by searching the Windows Address Book, MSN Messenger, .NET Messenger, Yahoo Pager, and all the files whose extensions contain the letters HT
    * 降低性能: Attempts to perform a Denial of Service against a Pakistani Web site
    * 危及安全設置: Terminates some AntiVirus and firewall processes

分發

    * 分發級別: High
    * 電子郵件的主題: Varies
    * 附件名稱: Varies
    * 附件大小: 34,304 bytes

W32.Yaha.K@mm 運行時會執行下列操作:

1. 將自身複製為下列文件,並將文件的屬性設置為隱藏:

          o C:\%System%\winservices.exe
          o C:\%System%\Nav32_loader.exe
          o C:\%System%\Tcpsvs32.exe
      注意:%System% 是一個變數。該蠕蟲會找到 Windows 系統文件夾,並將自身複製到其中。默認情況下,此文件夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows 2000/NT/) 或 C:\Windows\System32 (Windows XP)。

2. 它會將值:

      WinServices C:\%System%\WinServices.exe

      添加到以下註冊表鍵中:
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
      CurrentVersion\RunServices

      這樣,此蠕蟲便可在 Windows 啟動時運行。

3. 此蠕蟲將自身配置為在每次運行 .exe 文件時運行,其方法是將註冊表鍵

            HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 的默認值更改為
            C:\%System%\Nav32_loader.exe"%1 %*


4. 此蠕蟲可能還會將自身作為下列文件之一複製到 \Windows\System 文件夾中:

          o Hotmail_hack.exe
          o Friendship.scr
          o World_of_friendship.scr
          o Shake.scr
          o Sweet.scr
          o Be_happy.scr
          o Friend_finder.exe
          o I_like_you.scr
          o Love.scr
          o Dance.scr
          o Gc_messenger.exe
          o True_love.scr
          o Friend_happy.scr
          o Best_friend.scr
          o Life.scr
          o Colour_of_life.scr
          o Friendship_funny.scr
          o Funny.scr

5. 此蠕蟲會嘗試結束防病毒和防火牆進程。它清點活動進程,如果進程的名稱中包含下列內容之一,便會嘗試結束該進程:

          o REGEDIT
          o ACKWIN32
          o F-AGNT95
          o SWEEP95
          o VET95
          o N32SCANW
          o _AVPM
          o LOCKDOWNADVANCED
          o NSPLUGIN
          o NSCHEDNT
          o NRESQ32
          o NPSSVC
          o NOD32
          o _AVPCC
          o _AVP32
          o NORTON
          o NVC95
          o FP-WIN
          o IOMON98
          o PCCWIN98
          o F-PROT95
          o F-STOPW
          o PVIEW95
          o NAVWNT
          o NAVRUNR
          o NAVLU32
          o NAVAPSVC
          o NISUM
          o SYMPROXYSVC
          o RESCUE32
          o NISSERV
          o VSECOMR
          o VETTRAY
          o TDS2-NT
          o TDS2-98
          o SCAN32
          o PCFWALLICON
          o NSCHED32
          o IAMSERV.EXE
          o FRW.EXE
          o MCAFEE
          o atrack
          o IAMAPP
          o LUCOMSERVER
          o LUALL
          o NMAIN
          o NAVW32
          o NAVAPW32
          o VSSTAT
          o VSHWIN32
          o avsynmgr
          o avconsol
          o WEBTRAP
          o POP3TRAP
          o PCCMAIN
          o PCCIOMON
          o ESAFE.EXE
          o avpm.exe
          o avpcc.exe
          o AMON.EXE
          o ALERTSVC
          o ZoneAlarm
          o AVP32
          o LOCKDOWN2000
          o AVP.EXE
          o CFINET32
          o CFINET
          o ICMON
          o RMVTRJANSAFEWEB
          o WEBSCANX
          o PVIEW
          o ANTIVIR
      另外,如果感染的計算機是 Windows NT/2000/XP 系統,蠕蟲會自動從內存中關閉 Windows 任務管理器。

6. 試圖對網站 www.infopak.gov.pk 進行拒絕服務(DoS)攻擊。

電子郵件常式詳細信息

此蠕蟲會利用自身的 SMTP 引擎將自身通過電子郵件的形式發送給 Windows 通訊簿、MSN Messenger、.NET Messenger、Yahoo Pager 以及擴展名中包含字母 HT 的所有文件中的所有聯繫人。它試圖利用受感染計算機的默認 SMTP 伺服器來發送郵件。如果找不到此信息,會使用已作為硬編碼編入自身內部的眾多 SMTP 伺服器地址中的一個。所發送的電子郵件具有下列特徵:
主題:主題為下面列出的某一個:
郵件正文:郵件正文可能為下面列出的某一個:
附件:附件為下列文件之一:
發件人:「發件人」欄位中是虛假電子郵件地址,由下列內容:
如果系統日期為 3 月 25 日或 5 月 22 日,則蠕蟲會顯示下列信息,並交換滑鼠左鍵和右鍵的功能:


如果系統日期為星期四,蠕蟲會執行下列操作:
1. 隨機地將註冊表鍵

      HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

      中 Start Page 值的數值數據更改為下列值之一:
                + http:/ /www.unixhideout.com + http:/ /www.hirosh.tk + http:/ /www.neworder.box.sk + http:/ /www.blacksun.box.sk + http:/ /www.coderz.net + http:/ /www.hackers.com/html/neohaven.html + http:/ /www.ankitfadia.com + http:/ /www.hrvg.tk + http:/ /www.hackersclub.up.to + http:/ /geocities.com/snak33y3s
            或一個近似的網址。

2. 從以下註冊表鍵中檢索出存放當前用戶文檔的文件夾所在的位置

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
      Explorer\Shell Folders

      然後,將此文件夾、此文件夾中的所有子文件夾以及此文件夾及其子文件夾中的所有文件的屬性設置為隱藏。通常,此文件夾為 \My Documents 文件夾。

3. 在 Windows 桌面上創建文本文件 YeHS.txt。文件的屬性設置為隱藏和存檔。文件包含下列文本消息之一:

      ============================================================
      r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. ;) )
      w3 aRe tHe gRe@t 1nD1aN$..
      ------------------------------------------------------
      m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
      s00 mUch t0 c0me..
      iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

      eXp3ct th3 uNeXp3ctEd

      dEdic@t3d t0 : mY b3$t fRi3nD
      ============================================================
      >> qph@hackermail.com或
      ==================================================
      W32.@YerH$.B,Made in India,
      wE aRe thE greAt iNdIaNs..
      ----------------------------
      aBouT mE :
      jUst a c0mputEr gEEk..
      i tHinK i aM sTill a sCripT kiddie..
      eDucAtiOn : sCh00l sTudEnt..
      aBouT @YerH$.B:
      n0 dEstrucTivE paYload$ f0r inFecTeD c0mpUteRs.
      teRminAtioN oF aV + FireWaLL f0r sUrvIvaL.
      tImE dEfiNed tRigErRinG.. jUst f0r fUn.. n0 paYloaD.
      c0ntAinS bUg iN rEpliCation c0de.. no tIme t0 fiX.
      g0nNa fiX iT iN nExt rElEase..
      n0 m0rE $hiT
      ===================================================
      >> qph@hackermail.com或
      ==================================================
      W32.@YerH$.B,Made in India,
      wE aRe thE greAt iNdIaNs..
      ----------------------------
      spEciAl 10x to c0bra..
      f0r inSpirAtIon + c0dIng hElp..
      ==================================================
      >> qph@hackermail.com或
      ======================================================
      W32.@YerH$.B,Made in India
      wE aRe thE greAt iNdIaNs..
      ----------------------------
      wAnT peAce aNd pr0speRity in InDiA ?..
      f**k tHe c0rruptEd p0litiCian$..no shit$ nEEdeD..
      mErA bhAraT mAhaN ??.. n0t yeT..wE nEEd t0 mAkE iT..
      talenT & hArd w0rK shOulD be rEspEctEd..
      sElf stYleD a**H***$ mUsT bE eLimInatEd....
      n0 m0re $hiT m0n0p0lY..
      ======================================================
      >> qph@hackermail.com或
      =================================================
      W32.@YerH$.B,Made in India.
      wE aRe thE greAt iNdiAnS.
      ----------------------------
      iNdiAn hackers + vXerS teAm up...
      aNd kicK lamEr a**
      no m0re pAk shIT..
      itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.
      f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..
      no sHit bUsineSS iN heRe aNd
      nO lamE stuFF..
      =================================================
      >> qph@hackermail.com建議

賽門鐵克安全響應中心建議所有用戶和管理員遵循以下基本安全「最佳實踐」:

    * 禁用並刪除不需要的服務。 默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程序更新即可完成。
    * 如果混合型威脅攻擊了一個或多個網路服務,則在應用補丁程序之前,請禁用或禁止訪問這些服務。
    * 始終安裝最新的補丁程序,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時應用。
    * 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
    * 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件,這些文件常用於傳播病毒。
    * 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
    * 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描后才執行從互聯網下載的軟體。如果未對某些瀏覽器漏洞應用補丁程序,那麼訪問受感染的網站也會造成病毒感染。

注意:如果蠕蟲尚未運行,且 Symantec 防病毒產品在電子郵件中或蠕蟲試圖運行時檢測到 W32.Yaha.K@mm,只需刪除它即可。

殺毒工具
Symantec 提供了殺除 W32.Yaha.K@mm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。

手動殺毒
如果蠕蟲已運行,請執行下列操作:

      1. 通過「智能更新程序」下載更新的病毒定義,但不要安裝。
      2. 以安全模式重新啟動計算機。
      3. 將 Regedit.exe 複製為 Reg.com。
      4. 編輯註冊表,撤消蠕蟲所做的更改。
      5. 啟動 Symantec 防病毒軟體。如果該軟體無法啟動或運行不正常,請重新安裝。
      6. 安裝先前(步驟 1)下載的智能更新程序病毒定義。
      7. 運行完整的系統掃描,並刪除檢測為 W32.Yaha.K@mm 的文件。


1. 下載病毒定義

      使用「智能更新程序」下載病毒定義。將文件保存到 Windows 桌面上。這是必須執行的第一步操作,它確保在後續的殺毒過程中使用的是最新的病毒定義。智能更新程序病毒定義可從以下地址獲得:http://securityresponse.symantec.com/avcenter/defs.download.html。

      有關如何從 Symantec 安全響應中心網站下載並安裝智能更新程序病毒定義的詳細指導,請參閱文檔:如何使用智能更新程序更新病毒定義文件。

      警告:不要在此刻安裝病毒定義。只需下載即可。


2. 以安全模式重新啟動計算機

      a. 關閉計算機,關掉電源。等待 30 秒。請不要跳過此步驟。
      b. 除 Windows NT 外,所有的 Windows 32 位操作系統均可以安全模式重新啟動。有關指導,請參閱文檔:如何以安全模式啟動計算機。

3. 將 Regedit.exe 複製為 Reg.com

      由於蠕蟲修改了註冊表,使您不能運行 .exe 文件,所以必須首先生成註冊表編輯器程序文件的副本,並將其擴展名改成 .com,然後再運行該文件。

      1. 根據您運行的操作系統,執行下面相應的操作:
                + Windows 95/98 用戶:單擊「開始」,指向「程序」,然後單擊「MS-DOS 方式」。(這將打開 DOS 窗口,提示符為 C:\WINDOWS\。)繼續執行此部分的步驟 2。
                + Windows Me 用戶:單擊「開始」,指向「程序」,再指向「附件」,然後單擊「MS-DOS 方式」。(這將打開 DOS 窗口,提示符為 C:\WINDOWS\。)繼續執行此部分的步驟 2。
                + Windows NT/2000 用戶:
                  a. 單擊「開始」,然後單擊「運行」。
                  b. 鍵入下列命令,然後按 Enter 鍵:
                        command
                  將打開 MS-DOS 窗口。

                  c. 鍵入下列命令,然後按 Enter 鍵:
                        cd \winnt
                  d. 繼續執行此部分的步驟 2。
                + Windows XP:
                  a. 單擊「開始」,然後單擊「運行」。
                  b. 鍵入下列命令,然後按 Enter 鍵:
                        command
                  c. 在打開的 DOS 窗口中鍵入下列命令(每鍵入一行便按 Enter 鍵):
                        cd\
                        cd \windows
                  d. 繼續執行此部分的步驟 2。
      2. 鍵入下列命令,然後按 Enter 鍵:
            copy regedit.exe reg.com
      3. 鍵入下列命令,然後按 Enter 鍵:
            start reg.com

            (註冊表編輯器將出現在 DOS 窗口前面。)編輯完註冊表后,退出註冊表編輯器,然後退出 DOS 窗口。 只有在完成上述步驟之後,才可繼續進行下一部分「編輯註冊表,撤消蠕蟲所做的更改」。


4. 編輯註冊表,撤消蠕蟲所做的更改

      警告:Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或文件損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。

      1. 導航至以下鍵並選擇該鍵:
            HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
            警告:HKEY_LOCAL_MACHINE\Software\Classes 鍵中包含許多引用了其他文件擴展名的子鍵。其中之一是 .exe。更改此擴展名可阻止擴展名為 .exe 的文件運行。請確保是沿著此路徑瀏覽到 \command 子鍵的。

            修改下圖中所示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子鍵:

            <<=== 注意:應修改此鍵。
      2. 雙擊右窗格中的「(默認)」值。
      3. 刪除當前值數據,然後鍵入 "%1" %*(即鍵入下列字元:引號、百分號、1、引號、空格、百分號、星號)。
            注意:
                + 在 Windows 95/98/Me 和 Windows NT 系統中,註冊表編輯器會自動在值的兩邊加上引號。單擊「確定」后,「(默認)」值應如下所示:
                  ""%1" %*"
                + 在 Windows 2000/XP 系統中,不會顯示附加的引號。單擊「確定」后,「(默認)」值應如下所示:
                  "%1" %*
                + 在鍵入正確的數據前,請確保已完全刪除 command 鍵中的所有值數據。如果在鍵的開頭不小心留了一個空格,則嘗試運行任何程序文件時都將產生錯誤消息「Windows 找不到 .exe」。如果出現這種情況,請重新從此文檔的開頭進行檢查,並確保完全刪除當前值數據。
      4. 依次導航至下列每個鍵:
            HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
            HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
            CurrentVersion\RunServices
            注意:並非所有系統上都存在 RunServices 鍵。
      5. 在右窗格中,刪除下列值
            WinServices C:\%System%\WinServices.exe
      6. 退出註冊表編輯器。


5. 啟動 Symantec 防病毒軟體

      從 Windows 桌面上的快捷方式圖標或從「開始」菜單啟動 Symantec 防病毒程序。如果程序無法啟動,或運行步驟 8 中的掃描時出現問題,請從安裝文件或光碟重新安裝該軟體。

      警告:如果必須重新安裝 Symantec 防病毒程序,請在繼續下一步之前,以安全模式重新啟動計算機。


6. 安裝智能更新程序病毒定義

      雙擊在步驟 1 中下載的文件。出現提示時,單擊「是」或「確定」。


7. 掃描和刪除受感染文件

      1. 啟動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
                + Norton AntiVirus 單機版產品:請參閱文檔:如何配置 Norton AntiVirus 以掃描所有文件。
                + Symantec AntiVirus 企業版產品:請閱讀文檔:如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
      2. 運行完整的系統掃描。
      3. 如果有任何文件被檢測為感染了 W32.Yaha.K@mm,請單擊「刪除」。

完成後,重新啟動計算機,使其正常啟動。

描述者: Robert X Wang

上一篇[視聽]    下一篇 [書目]

相關評論

同義詞:暫無同義詞