发现： 2002 年 12 月 24 日

更新： 2007 年 2 月 13 日 11:42:22 AM

别名： W32/Yaha.k [McAfee], I-Worm.Lentin.i [KAV], Win32/Yaha.K@mm [GeCAD], W32/Yaha-K [Sophos], Win32.Yaha.K [CA], W32/Yaha.M-mm [MessageLabs]

类型: Worm

感染长度： 34,304 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

由于提交次数的增加，Symantec 安全响应中心自 2002 年 12 月 30 日起，将此威胁的级别从 2 类提升为 3 类。

W32.Yaha.K@mm 蠕虫是 W32.Yaha.J@mm 的变种。此蠕虫会终止某些防病毒和防火墙进程。它利用自身的 SMTP 引擎将自身通过电子邮件的形式发送给 Windows 通讯簿、MSN Messenger、.NET Messenger、Yahoo Pager 以及扩展名中包含字母 HT 的所有文件中的所有联系人。此电子邮件随机地选择主题、邮件正文以及附件名称。

此威胁用 Microsoft C++ 语言编写，用 UPX 压缩。压缩以前的大小约为 75 KB。

杀毒工具

Symantec 提供了杀除 W32.Yaha.K@mm 的工具。单击此处可获得此工具。这是消除此威胁最简便的方法，应首先尝试此方法。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 12 月 30 日

* 病毒定义（智能更新程序） 2002 年 12 月 26 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Emails itself to all the addresses it finds by searching the Windows Address Book, MSN Messenger, .NET Messenger, Yahoo Pager, and all the files whose extensions contain the letters HT

* 降低性能： Attempts to perform a Denial of Service against a Pakistani Web site

* 危及安全设置： Terminates some antivirus and firewall processes

分发

* 分发级别： High

* 电子邮件的主题： Varies

* 附件名称： Varies

* 附件大小： 34,304 bytes

W32.Yaha.K@mm 运行时会执行下列操作：

1. 将自身复制为下列文件，并将文件的属性设置为隐藏：

o C:\\%System%\\WinServices.exe

o C:\\%System%\av32_loader.exe

o C:\\%System%\\Tcpsvs32.exe

注意：%System% 是一个变量。该蠕虫会找到 Windows 系统文件夹，并将自身复制到其中。默认情况下，此文件夹为 C:\\Windows\\System (Windows 95/98/Me)、C:\\Winnt\\System32 (Windows 2000/NT/) 或 C:\\Windows\\System32 (Windows XP)。

2. 它会将值：

WinServices C:\\%System%\\WinServices.exe

添加到以下注册表键中：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\

CurrentVersion\\RunServices

这样，此蠕虫便可在 Windows 启动时运行。

3. 此蠕虫将自身配置为在每次运行 .exe 文件时运行，其方法是将注册表键

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command 的默认值更改为

C:\\%System%\av32_loader.exe"%1 %*

4. 此蠕虫可能还会将自身作为下列文件之一复制到 \\Windows\\System 文件夹中：

o Hotmail_hack.exe

o Friendship.scr

o World_of_friendship.scr

o Shake.scr

o Sweet.scr

o Be_happy.scr

o Friend_finder.exe

o I_like_you.scr

o Love.scr

o Dance.scr

o Gc_messenger.exe

o True_love.scr

o Friend_happy.scr

o Best_friend.scr

o Life.scr

o Colour_of_life.scr

o Friendship_funny.scr

o Funny.scr

5. 此蠕虫会尝试结束防病毒和防火墙进程。它清点活动进程，如果进程的名称中包含下列内容之一，便会尝试结束该进程：

o REGEDIT

o ACKWIN32

o F-AGNT95

o SWEEP95

o VET95

o N32SCANW

o _AVPM

o LOCKDOWNADVANCED

o NSPLUGIN

o NSCHEDNT

o NRESQ32

o NPSSVC

o NOD32

o _AVPCC

o _AVP32

o NORTON

o NVC95

o FP-WIN

o IOMON98

o PCCWIN98

o F-PROT95

o F-STOPW

o PVIEW95

o NAVWNT

o NAVRUNR

o NAVLU32

o NAVAPSVC

o NISUM

o SYMPROXYSVC

o RESCUE32

o NISSERV

o VSECOMR

o VETTRAY

o TDS2-NT

o TDS2-98

o SCAN32

o PCFWALLICON

o NSCHED32

o IAMSERV.EXE

o FRW.EXE

o MCAFEE

o ATRACK

o IAMAPP

o LUCOMSERVER

o LUALL

o NMAIN

o NAVW32

o NAVAPW32

o VSSTAT

o VSHWIN32

o AVSYNMGR

o AVCONSOL

o WEBTRAP

o POP3TRAP

o PCCMAIN

o PCCIOMON

o ESAFE.EXE

o AVPM.EXE

o AVPCC.EXE

o AMON.EXE

o ALERTSVC

o ZONEALARM

o AVP32

o LOCKDOWN2000

o AVP.EXE

o CFINET32

o CFINET

o ICMON

o RMVTRJANSAFEWEB

o WEBSCANX

o PVIEW

o ANTIVIR

另外，如果感染的计算机是 Windows NT/2000/XP 系统，蠕虫会自动从内存中关闭 Windows 任务管理器。

6. 试图对网站 www.infopak.gov.pk 进行拒绝服务（DoS）攻击。

电子邮件例程详细信息

此蠕虫会利用自身的 SMTP 引擎将自身通过电子邮件的形式发送给 Windows 通讯簿、MSN Messenger、.NET Messenger、Yahoo Pager 以及扩展名中包含字母 HT 的所有文件中的所有联系人。它试图利用受感染计算机的默认 SMTP 服务器来发送邮件。如果找不到此信息，会使用已作为硬编码编入自身内部的众多 SMTP 服务器地址中的一个。所发送的电子邮件具有下列特征：

主题：主题为下面列出的某一个：

邮件正文：邮件正文可能为下面列出的某一个：

附件：附件为下列文件之一：

发件人：“发件人”字段中是虚假电子邮件地址，由下列内容：

如果系统日期为 3 月 25 日或 5 月 22 日，则蠕虫会显示下列信息，并交换鼠标左键和右键的功能：

如果系统日期为星期四，蠕虫会执行下列操作：

1. 随机地将注册表键

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

中 Start Page 值的数值数据更改为下列值之一：

+ http:/ /www.unixhideout.com

+ http:/ /www.hirosh.tk

+ http:/ /www.neworder.box.sk

+ http:/ /www.blacksun.box.sk

+ http:/ /www.coderz.net

+ http:/ /www.hackers.com/html/neohaven.html

+ http:/ /www.ankitfadia.com

+ http:/ /www.hrvg.tk

+ http:/ /www.hackersclub.up.to

+ http:/ /geocities.com/snak33y3s

或一个近似的网址。

2. 从以下注册表键中检索出存放当前用户文档的文件夹所在的位置

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Explorer\\Shell Folders

然后，将此文件夹、此文件夹中的所有子文件夹以及此文件夹及其子文件夹中的所有文件的属性设置为隐藏。通常，此文件夹为 \\My Documents 文件夹。

3. 在 Windows 桌面上创建文本文件 YeHS.txt。文件的属性设置为隐藏和存档。文件包含下列文本消息之一：

============================================================

r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. ;) )

w3 aRe tHe gRe@t 1nD1aN$..

------------------------------------------------------

m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$

s00 mUch t0 c0me..

iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

eXp3ct th3 uNeXp3ctEd

dEdic@t3d t0 : mY b3$t fRi3nD

============================================================

>> qph@hackermail.com

或

==================================================

W32.@YerH$.B,Made in India,

wE aRe thE greAt iNdIaNs..

----------------------------

aBouT mE :

jUst a c0mputEr gEEk..

i tHinK i aM sTill a sCripT kiddiE..

eDucAtiOn : sCh00l sTudEnt..

aBouT @YerH$.B:

n0 dEstrucTivE paYload$ f0r inFecTeD c0mpUteRs.

teRminAtioN oF aV + FireWaLL f0r sUrvIvaL.

tImE dEfiNed tRigErRinG.. jUst f0r fUn.. n0 paYloaD.

c0ntAinS bUg iN rEpliCation c0de.. no tIme t0 fiX.

g0nNa fiX iT iN nExt rElEase..

n0 m0rE $hiT

===================================================

>> qph@hackermail.com

或

==================================================

W32.@YerH$.B,Made in India,

wE aRe thE greAt iNdIaNs..

----------------------------

spEciAl 10x to c0bra..

f0r inSpirAtIon + c0dIng hElp..

==================================================

>> qph@hackermail.com

或

======================================================

W32.@YerH$.B,Made in India

wE aRe thE greAt iNdIaNs..

----------------------------

wAnT peAce aNd pr0speRity in InDiA ?..

f**k tHe c0rruptEd p0litiCian$..no shit$ nEEdeD..

mErA bhAraT mAhaN ??.. n0t yeT..wE nEEd t0 mAkE iT..

talenT & hArd w0rK shOulD be rEspEctEd..

sElf stYleD a**H***$ mUsT bE eLimInatEd....

n0 m0re $hiT m0n0p0lY..

======================================================

>> qph@hackermail.com

或

=================================================

W32.@YerH$.B,Made in India.

wE aRe thE greAt iNdiAnS.

----------------------------

iNdiAn hAckeRs + vXerS teAm up...

aNd kicK lamEr a**

no m0re pAk shIT..

itZ oUr tiMe to shOw tHem, the p0wer of teaM w0rk.

f**k AIC,GFORCE,SILVERLORDS,WFD..f*****g k1dd1es..

no sHit bUsineSS iN heRe aNd

nO lamE stuFF..

=================================================

>> qph@hackermail.com

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

注意：如果蠕虫尚未运行，且 Symantec 防病毒产品在电子邮件中或蠕虫试图运行时检测到 W32.Yaha.K@mm，只需删除它即可。

杀毒工具

Symantec 提供了杀除 W32.Yaha.K@mm 的工具。单击此处可获得该工具。这是消除此威胁最简便的方法，应首先尝试此方法。

手动杀毒

如果蠕虫已运行，请执行下列操作：

1. 通过“智能更新程序”下载更新的病毒定义，但不要安装。

2. 以安全模式重新启动计算机。

3. 将 Regedit.exe 复制为 Reg.com。

4. 编辑注册表，撤消蠕虫所做的更改。

5. 启动 Symantec 防病毒软件。如果该软件无法启动或运行不正常，请重新安装。

6. 安装先前（步骤 1）下载的智能更新程序病毒定义。

7. 运行完整的系统扫描，并删除检测为 W32.Yaha.K@mm 的文件。

1. 下载病毒定义

使用“智能更新程序”下载病毒定义。将文件保存到 Windows 桌面上。这是必须执行的第一步操作，它确保在后续的杀毒过程中使用的是最新的病毒定义。智能更新程序病毒定义可从以下地址获得：http://securityresponse.symantec.com/avcenter/defs.download.html。

有关如何从 Symantec 安全响应中心网站下载并安装智能更新程序病毒定义的详细指导，请参阅文档：如何使用智能更新程序更新病毒定义文件。

警告：不要在此刻安装病毒定义。只需下载即可。

2. 以安全模式重新启动计算机

a. 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。

b. 除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关指导，请参阅文档：如何以安全模式启动计算机。

3. 将 Regedit.exe 复制为 Reg.com

由于蠕虫修改了注册表，使您不能运行 .exe 文件，所以必须首先生成注册表编辑器程序文件的副本，并将其扩展名改成 .com，然后再运行该文件。

1. 根据您运行的操作系统，执行下面相应的操作：

+ Windows 95/98 用户：单击“开始”，指向“程序”，然后单击“MS-DOS 方式”。（这将打开 DOS 窗口，提示符为 C:\\WINDOWS\\。）继续执行此部分的步骤 2。

+ Windows Me 用户：单击“开始”，指向“程序”，再指向“附件”，然后单击“MS-DOS 方式”。（这将打开 DOS 窗口，提示符为 C:\\WINDOWS\\。）继续执行此部分的步骤 2。

+ Windows NT/2000 用户：

a. 单击“开始”，然后单击“运行”。

b. 键入下列命令，然后按 Enter 键：

command

将打开 MS-DOS 窗口。

c. 键入下列命令，然后按 Enter 键：

cd \\winnt

d. 继续执行此部分的步骤 2。

+ Windows XP：

a. 单击“开始”，然后单击“运行”。

b. 键入下列命令，然后按 Enter 键：

command

c. 在打开的 DOS 窗口中键入下列命令（每键入一行便按 Enter 键）：

cd\\

cd \\windows

d. 继续执行此部分的步骤 2。

2. 键入下列命令，然后按 Enter 键：

copy regedit.exe reg.com

3. 键入下列命令，然后按 Enter 键：

start reg.com

（注册表编辑器将出现在 DOS 窗口前面。）编辑完注册表后，退出注册表编辑器，然后退出 DOS 窗口。 只有在完成上述步骤之后，才可继续进行下一部分“编辑注册表，撤消蠕虫所做的更改”。

4. 编辑注册表，撤消蠕虫所做的更改

警告：Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 导航至以下键并选择该键：

HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command

警告：HKEY_LOCAL_MACHINE\\Software\\Classes 键中包含许多引用了其他文件扩展名的子键。其中之一是 .exe。更改此扩展名可阻止扩展名为 .exe 的文件运行。请确保是沿着此路径浏览到 \\command 子键的。

修改下图中所示的 HKEY_LOCAL_MACHINE\\Software\\Classes\\exefile\\shell\\open\\command 子键：

<<=== 注意：应修改此键。

2. 双击右窗格中的“（默认）”值。

3. 删除当前值数据，然后键入 "%1" %*（即键入下列字符：引号、百分号、1、引号、空格、百分号、星号）。

注意：

+ 在 Windows 95/98/Me 和 Windows NT 系统中，注册表编辑器会自动在值的两边加上引号。单击“确定”后，“（默认）”值应如下所示：

""%1" %*"

+ 在 Windows 2000/XP 系统中，不会显示附加的引号。单击“确定”后，“（默认）”值应如下所示：

"%1" %*

+ 在键入正确的数据前，请确保已完全删除 command 键中的所有值数据。如果在键的开头不小心留了一个空格，则尝试运行任何程序文件时都将产生错误消息“Windows 找不到 .exe”。如果出现这种情况，请重新从此文档的开头进行检查，并确保完全删除当前值数据。

4. 依次导航至下列每个键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\

CurrentVersion\\RunServices

注意：并非所有系统上都存在 RunServices 键。

5. 在右窗格中，删除下列值

WinServices C:\\%System%\\WinServices.exe

6. 退出注册表编辑器。

5. 启动 Symantec 防病毒软件

从 Windows 桌面上的快捷方式图标或从“开始”菜单启动 Symantec 防病毒程序。如果程序无法启动，或运行步骤 8 中的扫描时出现问题，请从安装文件或光盘重新安装该软件。

警告：如果必须重新安装 Symantec 防病毒程序，请在继续下一步之前，以安全模式重新启动计算机。

6. 安装智能更新程序病毒定义

双击在步骤 1 中下载的文件。出现提示时，单击“是”或“确定”。

7. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

+ Norton AntiVirus 单机版产品：请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

+ Symantec AntiVirus 企业版产品：请阅读文档：如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Yaha.K@mm，请单击“删除”。

完成后，重新启动计算机，使其正常启动。

描述者： Robert X Wang