W32.Yaha.E@mm – üzenőprogramokon (is) fertőző féregvíus

A fertőzött e-mail tulajdonságai

Feladó: a következőkből választ véletlenszerűen egyet
screensaver, screensaver4u, screensaver4u, screensaverforu, freescreensaver, love, lovers, lovescr, loverscreensaver, loversgang, loveshore, love4u, lovers, enjoylove, sharelove, shareit, checkfriends, urfriend, friendscircle, friendship, friends, friendscr, friends, friends4u, friendship4u, friendshipbird, friendshipforu, friendsworld, werfriends, passion, bullshitscr, shakeit, shakescr, shakinglove, shakingfriendship, passionup, rishtha, greetings, lovegreetings, friendsgreetings, friendsearch, lovefinder, truefriends, truelovers, or fucker
ezekhez hozzáteszi a .com, .org vagy a .net utótag egyikét

Tárgy: a következőkből választ véletlenszerűen egyet
˝Fw: ˝, ˝ ˝, ˝:-)˝, ˝!˝, ˝!!˝, ˝to ur friends˝, ˝to ur lovers˝, ˝for you˝, ˝to see˝, ˝to check˝, ˝to watch˝, ˝to enjoy˝, ˝to share˝, ˝Screensaver˝, ˝Friendship˝, ˝Love˝, ˝relations˝, ˝stuff˝, ˝Romantic˝, ˝humour˝, ˝New˝, ˝Wonderfool˝, ˝excite˝, ˝Cool˝, ˝charming˝, ˝Idiot˝, ˝Nice˝, ˝Bullsh*t˝, ˝One˝, ˝Funny˝, ˝Great˝, ˝LoveGangs˝, ˝Shaking˝, ˝powful˝, ˝Joke˝, ˝Interesting˝, ˝U realy Want this˝, ˝searching for true Love˝, ˝you care ur friend˝, ˝Who is ur Best Friend ˝, ˝make ur friend happy˝, ˝True Love˝, ˝Dont wait for long time˝, ˝Free Screen saver˝, ˝Friendship Screen saver˝, ˝Looking for Friendship˝, ˝Need a friend?˝, ˝Find a good friend˝, ˝Best Friends˝, ˝I am For u˝, ˝Life for enjoyment˝, ˝Nothink to worryy˝, ˝Ur My Best Friend ˝, ˝Say ´I Like You´ To ur friend˝, ˝Easy Way to revel ur love˝, ˝Wowwwwwwwwwww check it˝, ˝Send This to everybody u like˝, ˝Enjoy Romantic life˝, ˝Let´s Dance and forget pains˝, ˝war Againest Loneliness˝, ˝How sweet this Screen saver˝, ˝Let´s Laugh ˝, ˝One Way to Love˝, ˝Learn How To Love˝, ˝Are you looking for Love˝, ˝love speaks from the heart˝, ˝Enjoy friendship˝, ˝Shake it baby˝, ˝Shake ur friends˝, ˝One Hackers Love˝, ˝Origin of Friendship˝, ˝The world of lovers˝, ˝The world of Friendship˝, ˝Check ur friends Circle˝, ˝Friendship˝, ˝how are you˝, ˝U r the person?˝, ˝Hi˝, or ˝¯˝

Csatolmány: az alábbi tagokból áll össze
Első rész: loveletter, resume, biodata, dailyreport, mountan, goldfish, weeklyreport, report, love
Második rész: .doc, .mp3, .xls, .wav, .txt, .jpg, .gif, .dat, .bmp, .htm, .mpg, .mdb, .zip
Kiterjesztés: .pif, .bat, .scr

A féreg paraméterei

Felfedezésének ideje: 2002. június 17.
Védekezés elkészültének ideje: 2002. június 17.
Mérete: 25.619 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megkísérli magát elküldeni az Address Bookban található összes címre, illetve az MSN Messenger, a Yahoo Pager és az ICQ kontaktlistájában található összes bejegyzésre, valamint a HT kiterjesztésű állományokból is megpróbál e-mailcímekhez jutni
– elsőként az Outlookot próbálja meg igénybe venni, ha ez nem sikerül, akkor a saját, beépített SMTP motorját használja
– a megszerzett címeket a Windows gyökérkönyvtárában tárolja egy véletlenszerűen választott 6 szám megduplázásából létrehozott DLL file-ban (tehát például 123456123456.dll)
– megjelenít egy üzenetet a képernyőn, ami az alábbiak egyike lehet:
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
– ezek után a Desktopot ˝összerázza˝, mint egy képernyőkímélő program

A következő események véletlenszerűen következnek be:

– képes kihasználni a MIME-hibát, amely lehetővé teszi a féreg futtatását már akkor is, amikor még csak a levél került megnyitásra, a csatolmány nem
– bemásolja magát a Recycled könyvtárba a fent ismertett kétszer véletlen hat számból álló néven
– a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcsot módosítja a [WormName]˝ %1 %* bejegyzéssel, ezáltal minden alkalommal automatikusan elindul, amikor egy EXE kiterjesztésű file futtatásra kerül
– létrehoz egy véletlenszerűen elnevezett szövegfile-t a Windows könyvtárában a következő tartalommal:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
w32.yAHa.D
aUThor :H^H,h2h@achayans.com
oRigIN :inDia,kERala(gODs oWn cOUntrY)
kANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..
oRu sITe kITTiyirunnegggil.. hACk CHEyyyamayirunnuuu..

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>