W32.Yaha.M@mm – DoS támadást indító féregvírus

A féreg paraméterei

Felfedezésének ideje: 2003. január 6.
Védekezés elkészültének ideje: 2003. január 7.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 28.672 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy álhibaüzenetet, a következő szöveggel: Required file Riched32.dll not found. Application initialisation error.
– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: WinServices.exe, Nav32_loader.exe, Tcpsvs32.exe
– hozzáadja a WinServices.exe C:/[System elérési útvonala]/winRWinServices.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/WinServices.exe˝%1 %* bejegyzésre való módosításának
– létrehozza a WinServices mutexet, hogy biztos lehessen abban, csak egyszer került be a memóriába
– további neveken is felmásolhatja magát a System könyvtárba, például:
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr
– antivírus és tűzfal szoftverek processeit képes kiiktatni
– Windows 2k/NT/XP alatt automatikusan leállítja a Windows Task Manager futását
– DoS támadást kísérel meg a www.infopak.gov.pk URL-lel szemben
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből az e-mailcímeket
– saját SMTP motorjával továbbítja magát
– amennyiben a rendszerdátum március 22-e vagy május 25-e, megjelenít egy ablakot, melynek fejléce: You are my best friend, szövege: Happy Birthday Dear
– keddenként véletlenszerűen átállítja az Internet Explorer kezdőlapját, az alábbiakból válogatván:
http://www.unixhideout.com
http://www.hirosh.tk
http://www.neworder.box.sk
http://www.blacksun.box.sk
http://www.coderz.net
http://www.hackers.com/html/neohaven.html
http://www.ankitfadia.com
http://www.hrvg.tk
http://www.hackersclub.up.to
http://geocities.com/snak33y3s
– szintén ezen a napon megkeresi a felhasználó dokumentumainak helyét (a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Registry kulcsból gyűjti ki az információt), majd törli a könyvtárat