W32.Yaha.J@mm – képernyővédőnek álcázott féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg
Tartalom: egy képernyővédő-küldő szolgáltatás szövege
Csatolmány: véletlenszerűen választott, dupla kiterjesztésű állomány, az első kiterjesztés lehet .pdf, .gif, .ppt, .jpg vagy .doc; a második: .scr

A féreg paraméterei

Felfedezésének ideje: 2002. december 16.
Védekezés elkészültének ideje: 2002. december 16.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 25.746 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjelenít egy ablakot Application initilisation error szöveggel
– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: Msnmsg32.exe, Nav32.exe, WinReg.exe
– a következő állományok egyikét bemásolja a Windows telepítő könyvtárába: Bestfriend.scr, MAtRiX.scr, EvilDaemon.scr, Love.scr, Escort.scr, NeverMind.scr, HotShot.scr, Honey.scr, ScreenSaver.scr, LoverScreenSaver.scr
– hozzáadja a winReg C:/[System elérési útvonala]/winReg.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/nav32.exe˝%1 %* bejegyzésre való módosításának
– antivírus és tűzfal szoftverek processeit képes kiiktatni
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből, valamint a HT betűket tartalmazó kiterjesztéssel rendelkező állományokból az e-mailcímeket
– saját SMTP motorjával továbbítja magát