W32.Yaha.F@mm

別名：WORM_YAHA.E [Trend],Worm/Lentin.F [Vexira],W32/Yaha.g@MM [McAfee],Yaha.E [F-Secure],W32/Yaha-E [Sophos],Win32.Yaha.E [CA]

感染長度：29,948 bytes

受感染的系統：Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP

CVE 參考：CVE-2001-0154

此蠕蟲創建的檔案的檔案名稱具有如下特徵：首尾字母分別是 c 和 y，中間是隨機生成的四個字元。

此外，此蠕蟲還會試圖終止防病毒進程和防火牆進程。

防毒工具

Symantec 提供了殺除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。單擊此處可獲得該工具。

這是殺除這些蠕蟲的最簡便方法，應首先嘗試此方法。

防護

* 病毒定義（每周 LiveUpdate™） 2002 年 6 月 19 日

* 病毒定義（智慧型更新程式） 2002 年 6 月 18 日

威脅評估

廣度

* 廣度級別：Medium

* 感染數量：50 - 999

* 站點數量：More than 10

* 地理位置分布：Medium

* 威脅抑制：Easy

* 清除：Moderate

損壞

* 損壞級別：Medium

* 大規模傳送電子郵件：Sends itself to all email addresses that exist in the Microsoft Windows Address Book,the MSN Messenger List,the Yahoo Pager list,the ICQ list,and files that have extensions that contain the letters ht.

* 危及安全設定：Attempts to terminate various AntiVirus and Firewall processes.

分發

* 分發級別：High

* 電子郵件的主題：Randomly chosen from a long list of strings.

* 附屬檔案名稱：Randomly chosen,ending in a .bat,.pif or .scr file extension

* 附屬檔案大小：29,948 bytes

如果 W32.Yaha.F@mm 運行，將執行下列操作：

試圖將自身傳送到 Windows 通訊簿檔案、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及擴展名包含字母 ht 的檔案中的所有電子郵件地址。然後將這些電子郵件地址存儲到檔案 \%Windows%\<four random letters>b.dll 中。

例如，如果四個隨機字元是 efgh，檔案名稱將是 \%Windows%\Efghb.dll。

注意：%Windows% 是一個變數。蠕蟲會找到 \Windows 資料夾（默認位置是 C:\Windows 或 C:\Winnt），然後將自身複製到該位置。

蠕蟲會顯示幾行文本字元串，然後造成 Windows 桌面晃動，以掩蓋其活動。這樣做的目的是使其看似一個螢幕保護程式。顯示的文本字元串如下：

* U r so cute today #!#!

* True Love never ends

* I like U very much!!!

* U r My Best Friend

URL：

蠕蟲運行自己的電子郵件例程時，它選擇的 URL 是將下列字元串之一：

screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker

與下列字元串組合：

.com、.org 或 .net

例如，它選擇的 URL 可能會是 Screensaver.com。

發件人：

“發件人”欄位是隨機選擇的電子郵件地址，可能不是合法的發件人。

主題：

W32.Yaha.F@mm 從下列字元串中隨機選擇主題：

"Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One Hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "&macr;"

正文：

正文將是：

<HTML><HEAD></HEAD><BODY>

後接：

<iframe src=3Dcid:[SomeCID] height=3D0 width=3D0></iframe>

或

[nothing]

再後接：

<FONT></FONT>

後接：

.

.

後接：

Check the attachment

或 See the attachement

或 Enjoy the attachement

或 More details attached

後接：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

或

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients.

This is a permanent error.The following address(es) failed:[Infected User's e-mail Address]

For further assistance,please contact < postmaster@[URL of recipient] >

If you do so,please include this problem report.You can

delete your own text from the message returned below.

Copy of your message,including all the headers is attached

注意：在這種情況下，電子郵件的發件人表面上看是 mailer-daemon@[URL of recpient]，電子郵件的附屬檔案是 eml 檔案，而此蠕蟲就以附屬檔案的形式包含在該 eml 檔案中。

或

Hi

Check the Attachement ..

See u

或

Hi

Check the Attachement ..

或

Attached one Gift for u..

或

wOW CHECK THIS

後接：

<Infected Computer's Username>

----- Original Message -----

From: "[Random string from above]" < [Random string from above]@[URL constructed above] >

To: < [Infected User's e-mail Address] >

Sent: [Infection date and time]

Subject: [Subject constructed above]

This e-mail is never sent unsolicited.If you need to unsubscribe,

follow the instructions at the bottom of the message.

***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.[URL constructed above] to everyone you

consider a FRIEND,even if it means sending it back to the person

who sent it to you.If it comes back to you,then you'll know you

have a circle of friends.

* To remove yourself from this mailing list,point your browser to:

http://[URL constructed above]/remove?freescreensaver

* Enter your email address ([infected user's e-mail address]) in the field provided and click "Unsubscribe".

或

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address [infected user's e-mail address]

X-PMG-Recipient: [Infected Username]

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

正文部分以如下標記結束：

</BODY></HTML>

附屬檔案：

附屬檔案可能是下列檔案名稱：

* loveletter

* resume

* biodata

* dailyreport

* mountan

* goldfish

* weeklyreport

* report

* love

後接：

* .doc

* .mp3

* .xls

* .wav

* .txt

* .jpg

* .gif

* .dat

* .bmp

* .htm

* .mpg

* .mdb

* .zip

擴展名是以下任意一種：

* .pif

* .bat

* .scr

?>蠕蟲使用自己的 SMTP 引擎。它會試圖利用受感染計算機的默認 SMTP 伺服器傳送郵件。如果找不到該信息，就使用硬編碼到蠕蟲中的若干 SMTP 伺服器地址之一來傳送郵件。

注意：上述任意一種傳送大量電子郵件的特點均無法在實驗環境中再現。

其它活動

除了傳送大量電子郵件，蠕蟲還會執行下列操作：

試圖終止防病毒進程和防火牆進程。蠕蟲會搜尋活動進程，如果進程名稱為以下名稱之一，則試圖終止該進程：

* SCAM32

* SIRC32

* WINK

* ZONEALARM

* AVP32

* LOCKDOWN2000

* AVP.EXE

* CFINET32

* CFINET

* ICMON

* SAFEWEB

* WEBSCANX

* ANTIⅥR

* MCAFEE

* NORTON

* NVC95

* FP-WIN

* IOMON98

* PCCWIN98

* F-PROT95

* F-STOPW

* PⅥEW95

* NAVWNT

* NAVRUNR

* NAVLU32

* NAVAPSVC

* NISUM

* SYMPROXYSVC

* RESCUE32

* NISSERV

* ATRACK

* IAMAPP

* LUCOMSERVER

* LUALL

* NMAIN

* NAVW32

* NAVAPW32

* VSSTAT

* VSHWIN32

* AVSYNMGR

* AVCONSOL

* WEBTRAP

* POP3TRAP

* PCCMAIN

* PCCIOMON

偶爾會利用“Incorrect MIME header”漏洞，使病毒在未安裝修補程式的系統中自動執行。

將自身複製到 Recycled 資料夾，或複製到 %Windows% 資料夾，這取決於 Recycled 資料夾的名稱。檔案名稱由六個隨機數字組成。

將自身配置為在每次執行 .exe 檔案時執行，方法是將下列註冊表鍵的默認值

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

更改為

[WormName]" %1 %*

此外，還會在 Windows 資料夾中創建一個隨機命名的文本檔案，例如 [Random File Name].txt。檔案包含下列內容：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

iNDian sNakes pResents yAha.E

iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites

bY

sNAkeeYes,c0Bra

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）.. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用防毒工具防毒

Symantec 提供了殺除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。單擊此處可獲得該工具。

這是殺除這些蠕蟲的最簡便方法，應首先嘗試此方法。

手動防毒步驟

如果蠕蟲尚未運行，且 Norton AntiVirus 在電子郵件中或蠕蟲試圖執行時檢測到 W32.Yaha.F@mm，只需刪除它即可。

如果您沒有最新的病毒定義，或自動防護功能未啟用，且蠕蟲已執行，則必須執行下列操作：

⒈ 通過“智慧型更新程式”下載最新的病毒定義，但不要安裝。

⒉ 以安全模式重新啟動計算機。

⒊ 將 Regedit.exe 複製為 Regedit.com。

⒋ 編輯註冊表，撤消蠕蟲所做的更改。

⒌ 安裝“智慧型更新程式”下載的最新的病毒定義。

⒍ 從命令行使用 Norton AntiVirus 進行掃描。

⒎ 重新啟動計算機。

⒏ 重新安裝 Norton AntiVirus。

⒈ 下載病毒定義

使用“智慧型更新程式”下載病毒定義，並將檔案保存到 Windows 桌面。這是必須執行的第一步操作，它確保您在後續的防毒過程中具有最新的病毒定義。“智慧型更新程式”病毒定義可從此處獲得：

http://securityresponse.symantec.com/avcenter/defs.download.html

有關如何從 Symantec 安全回響中心 Web 站點下載並安裝“智慧型更新程式”病毒定義的詳細指導，請參閱文檔：如何使用智慧型更新程式更新病毒定義檔案。

警告：不要在此刻安裝病毒定義。只需下載即可。

⒉ 以安全模式重新啟動計算機。

⒈ 關閉計算機，關掉電源。等待 30 秒。請不要跳過此步驟。

⒉ 除 Windows NT 外，所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導，請參閱有關如何以安全模式啟動計算機的文檔。

⒊ 將 Regedit.exe 複製為 Regedit.com：

由於蠕蟲修改了註冊表，使您不能運行 .exe 檔案，所以必須首先生成註冊表編輯器程式檔案的副本，並將其擴展名改成 .com，然後再運行該檔案。

⒈ 根據您運行的作業系統，執行下列任一操作：

o Windows 95/98 用戶：單擊“開始”，指向“程式”，然後單擊“MS-DOS 方式”。這將打開 DOS 視窗，提示符是 C:\WINDOWS\。轉至此部分的步驟 2。

o Windows Me 用戶：單擊“開始”，指向“程式”，再指向“附屬檔案”，然後單擊“MS-DOS 方式”。這將打開 DOS 視窗，提示符是 C:\WINDOWS\。轉至此部分的步驟 2。

o Windows NT/2000 用戶：

⒈ 單擊“開始”，然後單擊“運行”。

⒉ 鍵入下列內容，然後按 Enter 鍵：

command

將打開 DOS 視窗。

⒊ 鍵入下列內容，然後按 Enter 鍵：

cd \winnt

⒋ 轉至此部分的步驟 2。

⒈ Windows XP：

⒈ 單擊“開始”，然後單擊“運行”。

⒉ 鍵入下列內容，然後按 Enter 鍵：

command

將打開 DOS 視窗。

⒊ 鍵入下列內容，每鍵入完一行即按 Enter 鍵：

cd\

cd \windows

⒋ 繼續執行此部分的步驟 2。

⒉ 鍵入下列內容，然後按 Enter 鍵：

copy regedit.exe regedit.com

⒊ 鍵入下列內容，然後按 Enter 鍵：

start regedit.com

註冊表編輯器將出現在 DOS 視窗前面。編輯完註冊表之後，請退出註冊表編輯器，然後退出 DOS 視窗。

⒋ 只有在完成上述步驟之後，才可繼續進行下一部分“編輯註冊表，撤消蠕蟲所做的更改”。

⒋ 編輯註冊表，撤消蠕蟲所做的更改：

警告：Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或檔案損壞。請只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。

⒈ 導航至並選擇下列鍵：

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

警告：HKEY_LOCAL_MACHINE\Software\Classes 鍵中包含許多引用了其它檔案擴展名的子鍵。其中之一是 .exe。更改此擴展名可使擴展名為 .exe 的檔案不能運行。請確保是沿著此路徑瀏覽到 \command 子鍵的。

修改下圖中所示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子鍵：

<<=== 注意：請修改此鍵。

⒉ 雙擊右窗格中的（默認）值。

⒊ 刪除當前值數據，然後鍵入 "%1" %*（即鍵入下列字元：引號、百分號、1、引號、空格、百分號、星號）。

注意：

* 在 Windows 95/98/Me 和 Windows NT 系統中，註冊表編輯器會自動將值放在引號中。單擊“確定”時，（默認）值應如下所示：

* ""%1" %*"

* 在 Windows 2000/XP 系統中，不會顯示附加的引號。單擊“確定”時，（默認）值應如下所示：

* "%1" %*

* 在鍵入正確的數據前，請確保已完全刪除 command 鍵中的所有值數據。如果在鍵的開頭不小心留了一個空格，則嘗試運行任何程式檔案時都將產生錯誤訊息“Windows 找不到 .exe”。如果出現這種情況，請重新從此文檔的開頭進行檢查，並確保完全刪除當前值數據。

⒋ 重新啟動計算機。

⒌ 如果尚未這樣做，請運行 Live Update，然後按照下一部分“從命令行使用 Norton AntiVirus (NAV) 進行掃描”中的說明運行完整的系統掃描。

⒌ 安裝智慧型更新程式更新過的病毒定義：

雙擊步驟 1 中下載的檔案。出現提示時，單擊“是”或“確定”。

⒍ 從命令行使用 Norton AntiVirus (NAV) 進行掃描

由於某些 NAV 檔案遭到蠕蟲的破壞，所以必須從命令行進行掃描。

注意：以下指導僅適用於 NAV 單機版。檔案 Navw32.exe 不是 NAV 企業版（如 NAVCE）的一部分。NAVCE 的命令行掃描程式（即 Vpscan.exe）不會殺除蠕蟲。

⒈ 單擊“開始”，然後單擊“運行”。

⒉ 鍵入（或複製並貼上）下列內容，然後單擊“確定”：

NAVW32.EXE /L /ⅥSIBLE

⒊ 運行掃描。刪除所有檢測為帶 W32.Yaha.F@mm 的檔案。

⒎ 重新啟動計算機：

關閉計算機，關掉電源。等待 30 秒，然後重新啟動。

警告：這一步非常重要。如果不執行此步驟，會再次感染病毒。

⒏ 重新安裝 NAV

必須從原始安裝光碟或下載檔案重新安裝 NAV。有關詳細信息，請參閱文檔：殺除病毒後如何恢復 Norton AntiVirus。

⒐ 重新啟動計算機並再次掃描

⒈ 關閉計算機，關掉電源。等待 30 秒，然後重新啟動。

⒉ 運行 LiveUpdate 並下載最新的病毒定義和程式更新。

⒊ 啟動 Norton AntiVirus (NAV），並確保將 NAV 配置為掃描所有檔案。有關如何完成此操作的指導，請參閱文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

⒋ 運行完整的系統掃描。

⒌

描述者：Douglas Knowles