W32.Yaha.E@mm是一种通过电子邮件大肆传播的群发邮件蠕虫，它会将自身发送到Microsoft Windows通讯簿、MSN Messenger列表、Yahoo Pager列表、ICQ列表以及扩展名包含字母ht的文件中的所有电子邮件地址。此蠕虫能随机选择电子邮件的主题和正文。此蠕虫还会将自身复制到Recycled文件夹，或复制到%Windows%文件夹，这取决于Recycled文件夹的名称。

发现： 2002 年 6 月 17 日

更新： 2007 年 2 月 13 日 11:49:38 AM

别名： W32.Yaha.D@mm, I-Worm.Lentin.e [AVP], W32/Yaha.e@MM [McAfee], W32/Yaha-D [Sophos], WORM_YAHA.D [Trend], Win32.Yaha.D [CA]

类型: Worm

感染长度： 25,619 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2001-0154

此蠕虫创建的文件的名称由六个随机生成的数字组成。

杀毒工具

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

注意：2002 年 6 月 18 日之前的病毒定义会将其检测为 W32.Yaha.D@mm。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 6 月 19 日

* 病毒定义（智能更新程序） 2002 年 6 月 18 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： 50 - 999

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Sends itself to all email addresses that exist in the Microsoft Windows Address Book, the MSN Messenger List, the Yahoo Pager list, the ICQ list, and files that have extensions that contain the letters ht.

* 危及安全设置： It will attempt to terminate Anti-Virus and Firewall processes.

分发

* 分发级别： High

* 电子邮件的主题： Randomly chosen from a long list of strings.

* 附件名称： Randomly chosen, ending in a .bat, .pif or .scr file extension

* 附件大小： 25,619 bytes

如果 W32.Yaha.E@mm 运行，将执行下列操作：

试图将自身发送到 Windows 通讯簿文件、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的文件中的所有电子邮件地址。然后将这些电子邮件地址存储在文件 \\%Windows%\\<six random numbers><six random numbers>.dll 中。

例如，如果六个随机数字为 123456，文件名将是 \\%Windows%\\123456123456.dll。

注意：%Windows% 是一个变量。蠕虫会找到 \\Windows 文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。

蠕虫会显示几行文本字符串，然后造成 Windows 桌面晃动，以掩盖其活动。这样做的目的是使其看似一个屏幕保护程序。显示的文本字符串如下：

* U r so cute today #!#!

* True Love never ends

* I like U very much!!!

* U r My Best Friend

电子邮件例程详细信息

URL：

蠕虫运行自己的电子邮件例程时，它选择的 URL 是将下列字符串之一：

screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker

与下列字符串组合：

.com、.org 或 .net

例如，它选择的 URL 可能会是 Screensaver.com。

发件人：

“发件人”字段是随机选择的电子邮件地址，可能不是合法的发件人。

主题：

W32.Yaha.E@mm 从下列字符串中随机选择主题：

"Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One Hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "&macr;"

正文：

正文将是：

<HTML><HEAD></HEAD><BODY>

后接：

<iframe src=3Dcid:[SomeCID] height=3D0 width=3D0></iframe>

或

[nothing]

再后接：

<FONT></FONT>

后接：

[text that is gathered from .doc and .txt files on the infected computer.]

.

.

Check the attachment too..

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

或

Hi Dear

Check the Attachement ..

See u

<Infected Computer's Username>

----- Original Message -----

From: "Friendship" < friendshipscr@[URL constructed above] >

To: < [Infected User's e-mail Address] >

Sent: Friday, May 11, 2002 8:38 PM

Subject: [Subject constructed above]

再后接：

This e-mail is never sent unsolicited.If you need to unsubscribe,

follow the instructions at the bottom of the message.

***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.[URL constructed above] to everyone you

consider a FRIEND, even if it means sending it back to the person

who sent it to you.If it comes back to you, then you'll know you

have a circle of friends.

* To remove yourself from this mailing list, point your browser to:

http://[URL constructed above]/remove?freescreensaver

* Enter your email address ([infected user's e-mail address]) in the field provided and click "Unsubscribe".

或

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address [infected user's e-mail address]

X-PMG-Recipient: [Infected Username]

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

正文部分以如下标记结束：

</BODY></HTML>

附件：

附件可能是下列文件名：

* loveletter

* resume

* biodata

* dailyreport

* mountan

* goldfish

* weeklyreport

* report

* love

后接：

* .doc

* .mp3

* .xls

* .wav

* .txt

* .jpg

* .gif

* .dat

* .bmp

* .htm

* .mpg

* .mdb

* .zip

扩展名是以下任意一种：

* .pif

* .bat

* .scr

蠕虫使用自己的 SMTP 引擎。它会试图利用受感染计算机的默认 SMTP 服务器发送邮件。如果找不到该信息，就使用硬编码到蠕虫中的若干 SMTP 服务器地址之一来发送邮件。

其它活动

除了发送大量电子邮件，蠕虫还会执行下列操作：

偶尔利用“Incorrect MIME header”漏洞，使病毒在未安装修补程序的系统中自动执行。

试图终止防病毒和防火墙进程。蠕虫会列举活动进程，如果进程名称为以下名称之一，则试图终止该进程：

o SCAM32

o SIRC32

o WINK

o ZONEALARM

o AVP32

o LOCKDOWN2000

o AVP.EXE

o CFINET32

o CFINET

o ICMON

o SAFEWEB

o WEBSCANX

o ANTIVIR

o MCAFEE

o NORTON

o NVC95

o FP-WIN

o IOMON98

o PCCWIN98

o F-PROT95

o F-STOPW

o PVIEW95

o NAVWNT

o NAVRUNR

o NAVLU32

o NAVAPSVC

o NISUM

o SYMPROXYSVC

o RESCUE32

o NISSERV

o ATRACK

o IAMAPP

o LUCOMSERVER

o LUALL

o NMAIN

o NAVW32

o NAVAPW32

o VSSTAT

o VSHWIN32

o AVSYNMGR

o AVCONSOL

o WEBTRAP

o POP3TRAP

o PCCMAIN

o PCCIOMON

将自身复制到 Recycled 文件夹，或复制到 %Windows 文件夹，这取决于 Recycled 文件夹的名称。文件名由六个随机数字组成。

将自身配置为在每次执行 .exe 文件时执行，方法是将下列注册表键的默认值

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command

更改为

[WormName]" %1 %*

此外，还会在 Windows 文件夹中创建一个随机命名的文本文件，例如 [Random File Name].txt。文件包含下列内容：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

w32.yAHa.D

aUThor :H^H,h2h@achayans.com

oRigIN :inDia,kERala(gODs oWn cOUntrY)

kANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..

oRu sITe kITTiyirunnegggil.. hACk CHEyyyamayirunnuuu..

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用杀毒工具杀毒

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

手动杀毒步骤

1. 如果蠕虫已运行，必须首先撤消蠕虫对注册表所做的更改。如果蠕虫尚未运行，请转至步骤 2。

1. 将 Windows 配置为显示所有文件。

2. 将 Regedit.exe 复制为 Regedit.com（在大多数情况下）。

3. 编辑注册表，撤消蠕虫所做的更改。

2. 更新病毒定义，运行完整的系统扫描，然后删除被 NAV 检测为 W32.Yaha.E 的所有文件。

有关如何完成此操作的详细指导，请参阅以下部分。

将 Windows 配置为显示所有文件：

1. 启动 Windows 资源管理器。

2. 单击“查看”菜单 (Windows 95/98/NT) 或“工具”菜单 (Windows Me/2000/XP)，然后单击“选项”或“文件夹选项”。

3. 单击“查看”选项卡。

4. 取消选中“隐藏已知文件类型的扩展名”。

5. 执行下列操作之一：

* Windows 95/NT：单击“显示所有文件”。

* Windows 98：在“高级设置”框的“隐藏文件”文件夹下，单击“显示所有文件”。

* Windows Me/2000/XP：取消选中“隐藏受保护的操作系统文件”，并在“隐藏文件和文件夹”文件夹下，单击“显示所有文件和文件夹”。

6. 单击“应用”，然后单击“确定”。

将 Regedit.exe 复制为 Regedit.com：

由于蠕虫修改了注册表，使您不能运行 .exe 文件，所以必须首先生成注册表编辑器程序文件的副本，并将其扩展名改成 .com，然后再运行该文件。

1. 根据您运行的 Windows 版本，执行下列任一操作：

* Windows 95/98：单击“开始”，指向“程序”，然后单击“MS-DOS 方式”。

* Windows Me：单击“开始”，指向“程序”，再指向“附件”，然后单击“MS-DOS 方式”。

* Windows NT/2000/XP：

1. 单击“开始”，然后单击“运行”。

2. 键入下列内容，然后按 Enter 键：

command

将打开 DOS 窗口。

3. 键入下列内容，然后按 Enter 键：

cd \\winnt

4. 继续执行下一步骤。

2. 键入下列内容，然后按 Enter 键：

copy regedit.exe regedit.com

3. 键入下列内容，然后按 Enter 键：

start regedit.com

注册表编辑器将出现在 DOS 窗口前面。编辑完注册表之后，请退出注册表编辑器，然后退出 DOS 窗口。

4. 只有在完成上述步骤之后，才可继续进行下一部分“编辑注册表，撤消蠕虫所做的更改”。

编辑注册表，撤消蠕虫所做的更改：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 导航至并选择下列键：

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command

警告：HKEY_LOCAL_MACHINE\\Software\\Classes 键中包含许多引用了其它文件扩展名的子键。其中之一是 .exe。更改此扩展名可使扩展名为 .exe 的文件不能运行。请确保是沿着此路径浏览到 \\command 子键的。

修改下图中所示的 HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command 子键：

<<=== 注意：请修改此键。

2. 双击右窗格中的（默认）值。

3. 删除当前值数据，然后键入 "%1" %*（即键入下列字符：引号、百分号、1、引号、空格、百分号、星号）。

注意：注册表编辑器会自动将值放在引号中。单击“确定”时，（默认）值应如下所示：

""%1" %*"

在键入正确的数据前，请确保已完全删除 command 键中的所有值数据。如果在键的开头不小心留了一个空格，则尝试运行任何程序文件时都将产生错误消息“Windows 找不到 .exe”。如果出现这种情况，请重新从此文档的开头进行检查，并确保完全删除当前值数据。

4. 重新启动计算机。

5. 如果尚未这样做，请运行 Live Update，然后按照下一部分“使用 Norton AntiVirus 扫描并删除受感染文件”中的说明运行完整的系统扫描。

使用 Norton AntiVirus 扫描并删除受感染文件：

1. 获得最新的病毒定义。可通过两种方法获得：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测，如果未遇重大病毒爆发情况，会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测，会在工作日（周一至周五，美国时间）发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义，并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）行。

“智能更新程序” 病毒定义可从此处获得。有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导，请单击此处。

2. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。

o NAV 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件(英文)。

o NAV 企业版产品：请阅读文档：如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件（英文）。

3. 运行完整的系统扫描。

4. 删除被 NAV 检测为 W32.Yaha.E@mm 的所有文件。

5.

描述者： Douglas Knowles