W32.Yaha.H@mm – a féregvírus új változata is terjed

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg
Tartalom: egy képernyővédő-küldő szolgáltatás szövege
Csatolmány: véletlenszerűen választott, dupla kiterjesztésű állomány, az első kiterjesztés lehet .pdf, .gif, .ppt, .jpg vagy .doc; a második: .scr

A féreg paraméterei

Felfedezésének ideje: 2002. december 16.
Védekezés elkészültének ideje: 2002. december 17.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 53.248 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: Msnmsg32.exe, Nav32.exe, WinReg.exe
– hozzáadja a winReg C:/[System elérési útvonala]/winReg.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/nav32.exe˝%1 %* bejegyzésre való módosításának
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből az e-mailcímeket
– saját SMTP motorjával továbbítja magát
– antivírus és tűzfal szoftverek processeit képes kiiktatni