W32.Yaha.F@mm( 二 ) _生活百科

或 [nothing]再后接：后接：..后接：Check the attachment或 See the attachement或 Enjoy the attachement或 More details attached后接：<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>或This message was created automatically by mail delivery software (Exim).A message that you sent could not be delivered to one or more of its recipients.This is a permanent error.The following address(es) failed:[Infected User's e-mail Address]For further assistance,please contact < postmaster@[URL of recipient] >If you do so,please include this problem report.You candelete your own text from the message returned below.Copy of your message,including all the headers is attached注意：在这种情况下，电子邮件的发件人表面上看是 mailer-daemon@[URL of recpient]，电子邮件的附属档案是 eml 档案，而此蠕虫就以附属档案的形式包含在该 eml 档案中。或HiCheck the Attachement ..See u或HiCheck the Attachement ..或Attached one Gift for u..或wOW CHECK THIS后接：----- Original Message -----From: "[Random string from above]" < [Random string from above]@[URL constructed above] > To: < [Infected User's e-mail Address] >Sent: [Infection date and time]Subject: [Subject constructed above]This e-mail is never sent unsolicited.If you need to unsubscribe,follow the instructions at the bottom of the message.***********************************************************Enjoy this friendship Screen Saver and Check ur friends circle...Send this screensaver from www.[URL constructed above] to everyone youconsider a FRIEND,even if it means sending it back to the personwho sent it to you.If it comes back to you,then you'll know youhave a circle of friends.* To remove yourself from this mailing list,point your browser to:http://[URL constructed above]/remove?freescreensaver* Enter your email address ([infected user's e-mail address]) in the field provided and click "Unsubscribe".或* Reply to this message with the word "REMOVE" in the subject line.This message was sent to address [infected user's e-mail address]X-PMG-Recipient: [Infected Username]<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>正文部分以如下标记结束：附属档案：附属档案可能是下列档案名称：* loveletter* resume* biodata* dailyreport* mountan* goldfish* weeklyreport* report* love后接：* .doc* .mp3 * .xls* .wav* .txt* .jpg* .gif* .dat* .bmp* .htm* .mpg* .mdb* .zip扩展名是以下任意一种：* .pif* .bat* .scr?>蠕虫使用自己的 SMTP 引擎。它会试图利用受感染计算机的默认 SMTP 伺服器传送邮件。如果找不到该信息，就使用硬编码到蠕虫中的若干 SMTP 伺服器地址之一来传送邮件。注意：上述任意一种传送大量电子邮件的特点均无法在实验环境中再现。其它活动除了传送大量电子邮件，蠕虫还会执行下列操作：试图终止防病毒进程和防火墙进程。蠕虫会搜寻活动进程，如果进程名称为以下名称之一，则试图终止该进程：* SCAM32* SIRC32* WINK* ZONEALARM* AVP32* LOCKDOWN2000* AVP.EXE* CFINET32* CFINET* ICMON* SAFEWEB* WEBSCANX* ANTIⅥR* MCAFEE* NORTON* NVC95* FP-WIN* IOMON98* PCCWIN98* F-PROT95* F-STOPW* PⅥEW95* NAVWNT* NAVRUNR* NAVLU32* NAVAPSVC* NISUM* SYMPROXYSVC* RESCUE32* NISSERV* ATRACK* IAMAPP* LUCOMSERVER* LUALL* NMAIN* NAVW32* NAVAPW32* VSSTAT* VSHWIN32* AVSYNMGR* AVCONSOL* WEBTRAP* POP3TRAP* PCCMAIN* PCCIOMON偶尔会利用“Incorrect MIME header”漏洞，使病毒在未安装修补程式的系统中自动执行。将自身複製到 Recycled 资料夹，或複製到 %Windows% 资料夹，这取决于 Recycled 资料夹的名称。档案名称由六个随机数字组成。将自身配置为在每次执行 .exe 档案时执行，方法是将下列注册表键的默认值HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command更改为[WormName]" %1 %*此外，还会在 Windows 资料夹中创建一个随机命名的文本档案，例如 [Random File Name].txt 。档案包含下列内容：<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>iNDian sNakes pResents yAha.EiNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shitesbYsNAkeeYes,c0Bra<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>建议赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”：* 禁用并删除不需要的服务。默认情况下，许多作业系统会安装不必要的辅助服务，如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程式更新即可完成。* 如果混合型威胁攻击了一个或多个网路服务，则在套用补丁程式之前，请禁用或禁止访问这些服务。* 始终安装最新的补丁程式，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）.. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时套用。* 强制执行密码策略。複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件，这些档案常用于传播病毒。* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。* 教育员工不要打开意外收到的附属档案。并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式，那幺访问受感染的网站也会造成病毒感染。使用防毒工具防毒Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。手动防毒步骤如果蠕虫尚未运行，且 Norton AntiVirus 在电子邮件中或蠕虫试图执行时检测到 W32.Yaha.F@mm，只需删除它即可。如果您没有最新的病毒定义，或自动防护功能未启用，且蠕虫已执行，则必须执行下列操作：⒈ 通过“智慧型更新程式”下载最新的病毒定义，但不要安装。⒉ 以安全模式重新启动计算机。⒊ 将 Regedit.exe 複製为 Regedit.com 。⒋ 编辑注册表，撤消蠕虫所做的更改。⒌ 安装“智慧型更新程式”下载的最新的病毒定义。⒍ 从命令行使用 Norton AntiVirus 进行扫描。⒎ 重新启动计算机。⒏ 重新安装 Norton AntiVirus 。⒈ 下载病毒定义使用“智慧型更新程式”下载病毒定义，并将档案保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的防毒过程中具有最新的病毒定义。“智慧型更新程式”病毒定义可从此处获得：http://securityresponse.symantec.com/avcenter/defs.download.html有关如何从 Symantec 安全回响中心 Web 站点下载并安装“智慧型更新程式”病毒定义的详细指导，请参阅文档：如何使用智慧型更新程式更新病毒定义档案。警告：不要在此刻安装病毒定义。只需下载即可。⒉ 以安全模式重新启动计算机。⒈ 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。⒉ 除 Windows NT 外，所有的 Windows 32 位作业系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅有关如何以安全模式启动计算机的文档。⒊ 将 Regedit.exe 複製为 Regedit.com：由于蠕虫修改了注册表，使您不能运行 .exe 档案，所以必须首先生成注册表编辑器程式档案的副本，并将其扩展名改成 .com，然后再运行该档案。⒈ 根据您运行的作业系统，执行下列任一操作：o Windows 95/98 用户：单击“开始”，指向“程式”，然后单击“MS-DOS 方式” 。这将打开 DOS 视窗，提示符是 C:\WINDOWS\ 。转至此部分的步骤 2 。o Windows Me 用户：单击“开始”，指向“程式”，再指向“附属档案”，然后单击“MS-DOS 方式” 。这将打开 DOS 视窗，提示符是 C:\WINDOWS\ 。转至此部分的步骤 2 。o Windows NT/2000 用户：⒈ 单击“开始”，然后单击“运行” 。⒉ 键入下列内容，然后按 Enter 键：command将打开 DOS 视窗。⒊ 键入下列内容，然后按 Enter 键：cd \winnt⒋ 转至此部分的步骤 2 。⒈ Windows XP：⒈ 单击“开始”，然后单击“运行” 。⒉ 键入下列内容，然后按 Enter 键：command将打开 DOS 视窗。⒊ 键入下列内容，每键入完一行即按 Enter 键： cd\cd \windows⒋ 继续执行此部分的步骤 2 。⒉ 键入下列内容，然后按 Enter 键：copy regedit.exe regedit.com⒊ 键入下列内容，然后按 Enter 键：start regedit.com注册表编辑器将出现在 DOS 视窗前面。编辑完注册表之后，请退出注册表编辑器，然后退出 DOS 视窗。⒋ 只有在完成上述步骤之后，才可继续进行下一部分“编辑注册表，撤消蠕虫所做的更改” 。⒋ 编辑注册表，撤消蠕虫所做的更改：警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或档案损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。⒈ 导航至并选择下列键：HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command警告：HKEY_LOCAL_MACHINE\Software\Classes 键中包含许多引用了其它档案扩展名的子键。其中之一是 .exe 。更改此扩展名可使扩展名为 .exe 的档案不能运行。请确保是沿着此路径浏览到 \command 子键的。修改下图中所示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子键：<<=== 注意：请修改此键。⒉ 双击右窗格中的（默认）值。⒊ 删除当前值数据，然后键入 "%1" %*（即键入下列字元：引号、百分号、1、引号、空格、百分号、星号）。注意：* 在 Windows 95/98/Me 和 Windows NT 系统中，注册表编辑器会自动将值放在引号中。单击“确定”时，（默认）值应如下所示：* ""%1" %*"* 在 Windows 2000/XP 系统中，不会显示附加的引号。单击“确定”时，（默认）值应如下所示：* "%1" %** 在键入正确的数据前，请确保已完全删除 command 键中的所有值数据。如果在键的开头不小心留了一个空格，则尝试运行任何程式档案时都将产生错误讯息“Windows 找不到 .exe” 。如果出现这种情况，请重新从此文档的开头进行检查，并确保完全删除当前值数据。⒋ 重新启动计算机。⒌ 如果尚未这样做，请运行 Live Update，然后按照下一部分“从命令行使用 Norton AntiVirus (NAV) 进行扫描”中的说明运行完整的系统扫描。⒌ 安装智慧型更新程式更新过的病毒定义：双击步骤 1 中下载的档案。出现提示时，单击“是”或“确定” 。⒍ 从命令行使用 Norton AntiVirus (NAV) 进行扫描由于某些 NAV 档案遭到蠕虫的破坏，所以必须从命令行进行扫描。注意：以下指导仅适用于 NAV 单机版。档案 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程式（即 Vpscan.exe）不会杀除蠕虫。⒈ 单击“开始”，然后单击“运行” 。⒉ 键入（或複製并贴上）下列内容，然后单击“确定”：NAVW32.EXE /L /ⅥSIBLE⒊ 运行扫描。删除所有检测为带 W32.Yaha.F@mm 的档案。⒎ 重新启动计算机：关闭计算机，关掉电源。等待 30 秒，然后重新启动。警告：这一步非常重要。如果不执行此步骤，会再次感染病毒。⒏ 重新安装 NAV必须从原始安装光碟或下载档案重新安装 NAV 。有关详细信息，请参阅文档：杀除病毒后如何恢复 Norton AntiVirus 。⒐ 重新启动计算机并再次扫描⒈ 关闭计算机，关掉电源。等待 30 秒，然后重新启动。⒉ 运行 LiveUpdate 并下载最新的病毒定义和程式更新。⒊ 启动 Norton AntiVirus (NAV），并确保将 NAV 配置为扫描所有档案。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有档案。⒋ 运行完整的系统扫描。⒌描述者：Douglas Knowles