W32.Yaha.F@mm _生活百科

W32.Yaha.F@mm【W32.Yaha.F@mm】W32.Yaha.F@mm 是一种通过电子邮件大肆传播的群发邮件蠕虫，它会将自身传送到 Microsoft Windows 通讯簿、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的档案中的所有电子邮件地址。此蠕虫能随机选择电子邮件的主题和正文。附属档案的档案扩展名可能会是 .bat、.pif 或 .scr 。此蠕虫还会将自身複製到 Recycled 资料夹，或複製到 %Windows% 资料夹，这取决于 Recycled 资料夹的名称。
基本介绍外文名：W32.Yaha.F@mm
发现：2002 年 6 月 17 日
更新：2007 年 2 月 13 日
类型： Worm
简介别名：WORM_YAHA.E [Trend],Worm/Lentin.F [Vexira],W32/Yaha.g@MM [McAfee],Yaha.E [F-Secure],W32/Yaha-E [Sophos],Win32.Yaha.E [CA]感染长度：29,948 bytes受感染的系统：Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XPCVE 参考：CVE-2001-0154此蠕虫创建的档案的档案名称具有如下特徵：首尾字母分别是 c 和 y，中间是随机生成的四个字元。此外，此蠕虫还会试图终止防病毒进程和防火墙进程。防毒工具Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。防护* 病毒定义（每周 LiveUpdate?） 2002 年 6 月 19 日* 病毒定义（智慧型更新程式） 2002 年 6 月 18 日威胁评估广度* 广度级别：Medium* 感染数量：50 - 999* 站点数量：More than 10* 地理位置分布：Medium* 威胁抑制：Easy* 清除：Moderate损坏* 损坏级别：Medium* 大规模传送电子邮件：Sends itself to all email addresses that exist in the Microsoft Windows Address Book,the MSN Messenger List,the Yahoo Pager list,the ICQ list,and files that have extensions that contain the letters ht.* 危及安全设定：Attempts to terminate various AntiVirus and Firewall processes.分发* 分发级别：High* 电子邮件的主题：Randomly chosen from a long list of strings.* 附属档案名称：Randomly chosen,ending in a .bat,.pif or .scr file extension* 附属档案大小：29,948 bytes如果 W32.Yaha.F@mm 运行，将执行下列操作：试图将自身传送到 Windows 通讯簿档案、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的档案中的所有电子邮件地址。然后将这些电子邮件地址存储到档案 \%Windows%\<four random letters>b.dll 中。例如，如果四个随机字元是 efgh，档案名称将是 \%Windows%\Efghb.dll 。注意：%Windows% 是一个变数。蠕虫会找到 \Windows 资料夹（默认位置是 C:\Windows 或 C:\Winnt），然后将自身複製到该位置。蠕虫会显示几行文本字元串，然后造成 Windows 桌面晃动，以掩盖其活动。这样做的目的是使其看似一个萤幕保护程式。显示的文本字元串如下：* U r so cute today #!#!* True Love never ends* I like U very much!!!* U r My Best Friend电子邮件例程详细信息URL：蠕虫运行自己的电子邮件例程时，它选择的 URL 是将下列字元串之一：screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker与下列字元串组合：.com、.org 或 .net例如，它选择的 URL 可能会是 Screensaver.com 。发件人：“发件人”栏位是随机选择的电子邮件地址，可能不是合法的发件人。主题：W32.Yaha.F@mm 从下列字元串中随机选择主题： "Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One Hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "¯"正文：正文将是：<HTML><HEAD></HEAD><BODY>后接：<iframe src=http://www.mancos-co.com/3Dcid:[SomeCID] height=3D0 width=3D0>