W32.Yaha.F@mm 是一种通过电子邮件大肆传播的群发邮件蠕虫，它会将自身发送到 Microsoft Windows 通讯簿、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的文件中的所有电子邮件地址。此蠕虫能随机选择电子邮件的主题和正文。附件的文件扩展名可能会是 .bat、.pif 或 .scr。此蠕虫还会将自身复制到 Recycled 文件夹，或复制到 %Windows% 文件夹，这取决于 Recycled 文件夹的名称。

发现： 2002 年 6 月 17 日

更新： 2007 年 2 月 13 日 11:40:07 AM

别名： WORM_YAHA.E [Trend], Worm/Lentin.F [Vexira], W32/Yaha.g@MM [McAfee], Yaha.E [F-Secure], W32/Yaha-E [Sophos], Win32.Yaha.E [CA]

类型: Worm

感染长度： 29,948 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2001-0154

此蠕虫创建的文件的文件名具有如下特征：首尾字母分别是 c 和 y，中间是随机生成的四个字符。

此外，此蠕虫还会试图终止防病毒进程和防火墙进程。

杀毒工具

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 6 月 19 日

* 病毒定义（智能更新程序） 2002 年 6 月 18 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： 50 - 999

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Sends itself to all email addresses that exist in the Microsoft Windows Address Book, the MSN Messenger List, the Yahoo Pager list, the ICQ list, and files that have extensions that contain the letters ht.

* 危及安全设置： Attempts to terminate various AntiVirus and Firewall processes.

分发

* 分发级别： High

* 电子邮件的主题： Randomly chosen from a long list of strings.

* 附件名称： Randomly chosen, ending in a .bat, .pif or .scr file extension

* 附件大小： 29,948 bytes

如果 W32.Yaha.F@mm 运行，将执行下列操作：

试图将自身发送到 Windows 通讯簿文件、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的文件中的所有电子邮件地址。然后将这些电子邮件地址存储到文件 \\%Windows%\\<four random letters>b.dll 中。

例如，如果四个随机字符是 efgh，文件名将是 \\%Windows%\\Efghb.dll。

注意：%Windows% 是一个变量。蠕虫会找到 \\Windows 文件夹（默认位置是 C:\\Windows 或 C:\\Winnt），然后将自身复制到该位置。

蠕虫会显示几行文本字符串，然后造成 Windows 桌面晃动，以掩盖其活动。这样做的目的是使其看似一个屏幕保护程序。显示的文本字符串如下：

* U r so cute today #!#!

* True Love never ends

* I like U very much!!!

* U r My Best Friend

电子邮件例程详细信息

URL：

蠕虫运行自己的电子邮件例程时，它选择的 URL 是将下列字符串之一：

screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker

与下列字符串组合：

.com、.org 或 .net

例如，它选择的 URL 可能会是 Screensaver.com。

发件人：

“发件人”字段是随机选择的电子邮件地址，可能不是合法的发件人。

主题：

W32.Yaha.F@mm 从下列字符串中随机选择主题：

"Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One Hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "&macr;"

正文：

正文将是：

<HTML><HEAD></HEAD><BODY>

后接：

<iframe src=3Dcid:[SomeCID] height=3D0 width=3D0></iframe>

或

[nothing]

再后接：

<FONT></FONT>

后接：

.

.

后接：

Check the attachment

或 See the attachement

或 Enjoy the attachement

或 More details attached

后接：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

或

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients.

This is a permanent error.The following address(es) failed:[Infected User's e-mail Address]

For further assistance, please contact < postmaster@[URL of recipient] >

If you do so, please include this problem report.You can

delete your own text from the message returned below.

Copy of your message, including all the headers is attached

注意：在这种情况下，电子邮件的发件人表面上看是 mailer-daemon@[URL of recpient]，电子邮件的附件是 eml 文件，而此蠕虫就以附件的形式包含在该 eml 文件中。

或

Hi

Check the Attachement ..

See u

或

Hi

Check the Attachement ..

或

Attached one Gift for u..

或

wOW CHECK THIS

后接：

<Infected Computer's Username>

----- Original Message -----

From: "[Random string from above]" < [Random string from above]@[URL constructed above] >

To: < [Infected User's e-mail Address] >

Sent: [Infection date and time]

Subject: [Subject constructed above]

This e-mail is never sent unsolicited.If you need to unsubscribe,

follow the instructions at the bottom of the message.

***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.[URL constructed above] to everyone you

consider a FRIEND, even if it means sending it back to the person

who sent it to you.If it comes back to you, then you'll know you

have a circle of friends.

* To remove yourself from this mailing list, point your browser to:

http://[URL constructed above]/remove?freescreensaver

* Enter your email address ([infected user's e-mail address]) in the field provided and click "Unsubscribe".

或

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address [infected user's e-mail address]

X-PMG-Recipient: [Infected Username]

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

正文部分以如下标记结束：

</BODY></HTML>

附件：

附件可能是下列文件名：

* loveletter

* resume

* biodata

* dailyreport

* mountan

* goldfish

* weeklyreport

* report

* love

后接：

* .doc

* .mp3

* .xls

* .wav

* .txt

* .jpg

* .gif

* .dat

* .bmp

* .htm

* .mpg

* .mdb

* .zip

扩展名是以下任意一种：

* .pif

* .bat

* .scr

蠕虫使用自己的 SMTP 引擎。它会试图利用受感染计算机的默认 SMTP 服务器发送邮件。如果找不到该信息，就使用硬编码到蠕虫中的若干 SMTP 服务器地址之一来发送邮件。

注意：上述任意一种发送大量电子邮件的特点均无法在实验环境中再现。

其它活动

除了发送大量电子邮件，蠕虫还会执行下列操作：

试图终止防病毒进程和防火墙进程。蠕虫会搜索活动进程，如果进程名称为以下名称之一，则试图终止该进程：

* SCAM32

* SIRC32

* WINK

* ZONEALARM

* AVP32

* LOCKDOWN2000

* AVP.EXE

* CFINET32

* CFINET

* ICMON

* SAFEWEB

* WEBSCANX

* ANTIVIR

* MCAFEE

* NORTON

* NVC95

* FP-WIN

* IOMON98

* PCCWIN98

* F-PROT95

* F-STOPW

* PVIEW95

* NAVWNT

* NAVRUNR

* NAVLU32

* NAVAPSVC

* NISUM

* SYMPROXYSVC

* RESCUE32

* NISSERV

* ATRACK

* IAMAPP

* LUCOMSERVER

* LUALL

* NMAIN

* NAVW32

* NAVAPW32

* VSSTAT

* VSHWIN32

* AVSYNMGR

* AVCONSOL

* WEBTRAP

* POP3TRAP

* PCCMAIN

* PCCIOMON

偶尔会利用“Incorrect MIME header”漏洞，使病毒在未安装修补程序的系统中自动执行。

将自身复制到 Recycled 文件夹，或复制到 %Windows% 文件夹，这取决于 Recycled 文件夹的名称。文件名由六个随机数字组成。

将自身配置为在每次执行 .exe 文件时执行，方法是将下列注册表键的默认值

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command

更改为

[WormName]" %1 %*

此外，还会在 Windows 文件夹中创建一个随机命名的文本文件，例如 [Random File Name].txt。文件包含下列内容：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

iNDian sNakes pResents yAha.E

iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites

bY

sNAkeeYes,c0Bra

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用杀毒工具杀毒

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

手动杀毒步骤

如果蠕虫尚未运行，且 Norton AntiVirus 在电子邮件中或蠕虫试图执行时检测到 W32.Yaha.F@mm，只需删除它即可。

如果您没有最新的病毒定义，或自动防护功能未启用，且蠕虫已执行，则必须执行下列操作：

1. 通过“智能更新程序”下载最新的病毒定义，但不要安装。

2. 以安全模式重新启动计算机。

3. 将 Regedit.exe 复制为 Regedit.com。

4. 编辑注册表，撤消蠕虫所做的更改。

5. 安装“智能更新程序”下载的最新的病毒定义。

6. 从命令行使用 Norton AntiVirus 进行扫描。

7. 重新启动计算机。

8. 重新安装 Norton AntiVirus。

1. 下载病毒定义

使用“智能更新程序”下载病毒定义，并将文件保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的杀毒过程中具有最新的病毒定义。“智能更新程序”病毒定义可从此处获得：

http://securityresponse.symantec.com/avcenter/defs.download.html

有关如何从 Symantec 安全响应中心 Web 站点下载并安装“智能更新程序”病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。

警告：不要在此刻安装病毒定义。只需下载即可。

2. 以安全模式重新启动计算机。

1. 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。

2. 除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅有关如何以安全模式启动计算机的文档。

3. 将 Regedit.exe 复制为 Regedit.com：

由于蠕虫修改了注册表，使您不能运行 .exe 文件，所以必须首先生成注册表编辑器程序文件的副本，并将其扩展名改成 .com，然后再运行该文件。

1. 根据您运行的操作系统，执行下列任一操作：

o Windows 95/98 用户：单击“开始”，指向“程序”，然后单击“MS-DOS 方式”。这将打开 DOS 窗口，提示符是 C:\\WINDOWS\\。转至此部分的步骤 2。

o Windows Me 用户：单击“开始”，指向“程序”，再指向“附件”，然后单击“MS-DOS 方式”。这将打开 DOS 窗口，提示符是 C:\\WINDOWS\\。转至此部分的步骤 2。

o Windows NT/2000 用户：

1. 单击“开始”，然后单击“运行”。

2. 键入下列内容，然后按 Enter 键：

command

将打开 DOS 窗口。

3. 键入下列内容，然后按 Enter 键：

cd \\winnt

4. 转至此部分的步骤 2。

1. Windows XP：

1. 单击“开始”，然后单击“运行”。

2. 键入下列内容，然后按 Enter 键：

command

将打开 DOS 窗口。

3. 键入下列内容，每键入完一行即按 Enter 键：

cd\\

cd \\windows

4. 继续执行此部分的步骤 2。

2. 键入下列内容，然后按 Enter 键：

copy regedit.exe regedit.com

3. 键入下列内容，然后按 Enter 键：

start regedit.com

注册表编辑器将出现在 DOS 窗口前面。编辑完注册表之后，请退出注册表编辑器，然后退出 DOS 窗口。

4. 只有在完成上述步骤之后，才可继续进行下一部分“编辑注册表，撤消蠕虫所做的更改”。

4. 编辑注册表，撤消蠕虫所做的更改：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 导航至并选择下列键：

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command

警告：HKEY_LOCAL_MACHINE\\Software\\Classes 键中包含许多引用了其它文件扩展名的子键。其中之一是 .exe。更改此扩展名可使扩展名为 .exe 的文件不能运行。请确保是沿着此路径浏览到 \\command 子键的。

修改下图中所示的 HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command 子键：

<<=== 注意：请修改此键。

2. 双击右窗格中的（默认）值。

3. 删除当前值数据，然后键入 "%1" %*（即键入下列字符：引号、百分号、1、引号、空格、百分号、星号）。

注意：

* 在 Windows 95/98/Me 和 Windows NT 系统中，注册表编辑器会自动将值放在引号中。单击“确定”时，（默认）值应如下所示：

* ""%1" %*"

* 在 Windows 2000/XP 系统中，不会显示附加的引号。单击“确定”时，（默认）值应如下所示：

* "%1" %*

* 在键入正确的数据前，请确保已完全删除 command 键中的所有值数据。如果在键的开头不小心留了一个空格，则尝试运行任何程序文件时都将产生错误消息“Windows 找不到 .exe”。如果出现这种情况，请重新从此文档的开头进行检查，并确保完全删除当前值数据。

4. 重新启动计算机。

5. 如果尚未这样做，请运行 Live Update，然后按照下一部分“从命令行使用 Norton AntiVirus (NAV) 进行扫描”中的说明运行完整的系统扫描。

5. 安装智能更新程序更新过的病毒定义：

双击步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。

6. 从命令行使用 Norton AntiVirus (NAV) 进行扫描

由于某些 NAV 文件遭到蠕虫的破坏，所以必须从命令行进行扫描。

注意：以下指导仅适用于 NAV 单机版。文件 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程序（即 Vpscan.exe）不会杀除蠕虫。

1. 单击“开始”，然后单击“运行”。

2. 键入（或复制并粘贴）下列内容，然后单击“确定”：

NAVW32.EXE /L /VISIBLE

3. 运行扫描。删除所有检测为带 W32.Yaha.F@mm 的文件。

7. 重新启动计算机：

关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不执行此步骤，会再次感染病毒。

8. 重新安装 NAV

必须从原始安装光盘或下载文件重新安装 NAV。有关详细信息，请参阅文档：杀除病毒后如何恢复 Norton AntiVirus。

9. 重新启动计算机并再次扫描

1. 关闭计算机，关掉电源。等待 30 秒，然后重新启动。

2. 运行 LiveUpdate 并下载最新的病毒定义和程序更新。

3. 启动 Norton AntiVirus (NAV)，并确保将 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

4. 运行完整的系统扫描。

5.

描述者： Douglas Knowles