别名：WORM_YAHA.E [Trend],Worm/Lentin.F [Vexira],W32/Yaha.g@MM [McAfee],Yaha.E [F-Secure],W32/Yaha-E [Sophos],Win32.Yaha.E [CA]

感染长度：29,948 bytes

受感染的系统：Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows XP

CVE 参考：CVE-2001-0154

此蠕虫创建的档案的档案名称具有如下特徵：首尾字母分别是 c 和 y，中间是随机生成的四个字元。

此外，此蠕虫还会试图终止防病毒进程和防火墙进程。

防毒工具

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

防护

* 病毒定义（每周 LiveUpdate™） 2002 年 6 月 19 日

* 病毒定义（智慧型更新程式） 2002 年 6 月 18 日

威胁评估

广度

* 广度级别：Medium

* 感染数量：50 - 999

* 站点数量：More than 10

* 地理位置分布：Medium

* 威胁抑制：Easy

* 清除：Moderate

损坏

* 损坏级别：Medium

* 大规模传送电子邮件：Sends itself to all email addresses that exist in the Microsoft Windows Address Book,the MSN Messenger List,the Yahoo Pager list,the ICQ list,and files that have extensions that contain the letters ht.

* 危及安全设定：Attempts to terminate various AntiVirus and Firewall processes.

分发

* 分发级别：High

* 电子邮件的主题：Randomly chosen from a long list of strings.

* 附属档案名称：Randomly chosen,ending in a .bat,.pif or .scr file extension

* 附属档案大小：29,948 bytes

如果 W32.Yaha.F@mm 运行，将执行下列操作：

试图将自身传送到 Windows 通讯簿档案、MSN Messenger 列表、Yahoo Pager 列表、ICQ 列表以及扩展名包含字母 ht 的档案中的所有电子邮件地址。然后将这些电子邮件地址存储到档案 \%Windows%\<four random letters>b.dll 中。

例如，如果四个随机字元是 efgh，档案名称将是 \%Windows%\Efghb.dll。

注意：%Windows% 是一个变数。蠕虫会找到 \Windows 资料夹（默认位置是 C:\Windows 或 C:\Winnt），然后将自身複製到该位置。

蠕虫会显示几行文本字元串，然后造成 Windows 桌面晃动，以掩盖其活动。这样做的目的是使其看似一个萤幕保护程式。显示的文本字元串如下：

* U r so cute today #!#!

* True Love never ends

* I like U very much!!!

* U r My Best Friend

URL：

蠕虫运行自己的电子邮件例程时，它选择的 URL 是将下列字元串之一：

screensaver、screensaver4u、 screensaver4u、screensaverforu、freescreensaver、love、lovers、lovescr、 loverscreensaver、loversgang、loveshore、love4u、lovers、enjoylove、sharelove、 shareit、checkfriends、urfriend、friendscircle、friendship、friends、 friendscr、friends、friends4u、friendship4u、friendshipbird、friendshipforu、 friendsworld、werfriends、passion、bullsh*tscr、shakeit、shakescr、 shakinglove、shakingfriendship、passionup、rishtha、greetings、lovegreetings、 friendsgreetings、friendsearch、lovefinder、truefriends、truelovers 或 f*cker

与下列字元串组合：

.com、.org 或 .net

例如，它选择的 URL 可能会是 Screensaver.com。

发件人：

“发件人”栏位是随机选择的电子邮件地址，可能不是合法的发件人。

主题：

W32.Yaha.F@mm 从下列字元串中随机选择主题：

"Fw: "、" "、":-)"、"!"、"!!"、"to ur friends"、"to ur lovers"、"for you"、"to see"、"to check"、"to watch"、"to enjoy"、"to share"、"Screensaver"、"Friendship"、"Love"、"relations"、"stuff"、"Romantic"、 "humour"、"New"、"Wonderfool"、"excite"、"Cool"、"charming"、"Idiot"、"Nice"、 "Bullsh*t"、"One"、"Funny"、"Great"、"LoveGangs"、"Shaking"、"powful"、"Joke"、 "Interesting"、"U realy Want this"、"searching for true Love"、"you care ur friend"、"Who is ur Best Friend "、"make ur friend happy"、"True Love"、"Dont wait for long time"、"Free Screen saver"、"Friendship Screen saver"、"Looking for Friendship"、"Need a friend?"、"Find a good friend"、"Best Friends"、"I am For u"、"Life for enjoyment"、"Nothink to worryy"、"Ur My Best Friend "、"Say 'I Like You' To ur friend"、"Easy Way to revel ur love"、"Wowwwwwwwwwww check it"、"Send This to everybody u like"、"Enjoy Romantic life"、"Let's Dance and forget pains"、"war Againest Loneliness"、"How sweet this Screen saver"、"Let's Laugh "、"One Way to Love"、"Learn How To Love"、"Are you looking for Love"、"love speaks from the heart"、"Enjoy friendship"、"Shake it baby"、"Shake ur friends"、"One Hackers Love"、"Origin of Friendship"、"The world of lovers"、"The world of Friendship"、"Check ur friends Circle"、"Friendship"、"how are you"、"U r the person?"、"Hi" 或 "&macr;"

正文：

正文将是：

<HTML><HEAD></HEAD><BODY>

后接：

<iframe src=3Dcid:[SomeCID] height=3D0 width=3D0></iframe>

或

[nothing]

再后接：

<FONT></FONT>

后接：

.

.

后接：

Check the attachment

或 See the attachement

或 Enjoy the attachement

或 More details attached

后接：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

或

This message was created automatically by mail delivery software (Exim).

A message that you sent could not be delivered to one or more of its recipients.

This is a permanent error.The following address(es) failed:[Infected User's e-mail Address]

For further assistance,please contact < postmaster@[URL of recipient] >

If you do so,please include this problem report.You can

delete your own text from the message returned below.

Copy of your message,including all the headers is attached

注意：在这种情况下，电子邮件的发件人表面上看是 mailer-daemon@[URL of recpient]，电子邮件的附属档案是 eml 档案，而此蠕虫就以附属档案的形式包含在该 eml 档案中。

或

Hi

Check the Attachement ..

See u

或

Hi

Check the Attachement ..

或

Attached one Gift for u..

或

wOW CHECK THIS

后接：

<Infected Computer's Username>

----- Original Message -----

From: "[Random string from above]" < [Random string from above]@[URL constructed above] >

To: < [Infected User's e-mail Address] >

Sent: [Infection date and time]

Subject: [Subject constructed above]

This e-mail is never sent unsolicited.If you need to unsubscribe,

follow the instructions at the bottom of the message.

***********************************************************

Enjoy this friendship Screen Saver and Check ur friends circle...

Send this screensaver from www.[URL constructed above] to everyone you

consider a FRIEND,even if it means sending it back to the person

who sent it to you.If it comes back to you,then you'll know you

have a circle of friends.

* To remove yourself from this mailing list,point your browser to:

http://[URL constructed above]/remove?freescreensaver

* Enter your email address ([infected user's e-mail address]) in the field provided and click "Unsubscribe".

或

* Reply to this message with the word "REMOVE" in the subject line.

This message was sent to address [infected user's e-mail address]

X-PMG-Recipient: [Infected Username]

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

正文部分以如下标记结束：

</BODY></HTML>

附属档案：

附属档案可能是下列档案名称：

* loveletter

* resume

* biodata

* dailyreport

* mountan

* goldfish

* weeklyreport

* report

* love

后接：

* .doc

* .mp3

* .xls

* .wav

* .txt

* .jpg

* .gif

* .dat

* .bmp

* .htm

* .mpg

* .mdb

* .zip

扩展名是以下任意一种：

* .pif

* .bat

* .scr

?>蠕虫使用自己的 SMTP 引擎。它会试图利用受感染计算机的默认 SMTP 伺服器传送邮件。如果找不到该信息，就使用硬编码到蠕虫中的若干 SMTP 伺服器地址之一来传送邮件。

注意：上述任意一种传送大量电子邮件的特点均无法在实验环境中再现。

其它活动

除了传送大量电子邮件，蠕虫还会执行下列操作：

试图终止防病毒进程和防火墙进程。蠕虫会搜寻活动进程，如果进程名称为以下名称之一，则试图终止该进程：

* SCAM32

* SIRC32

* WINK

* ZONEALARM

* AVP32

* LOCKDOWN2000

* AVP.EXE

* CFINET32

* CFINET

* ICMON

* SAFEWEB

* WEBSCANX

* ANTIⅥR

* MCAFEE

* NORTON

* NVC95

* FP-WIN

* IOMON98

* PCCWIN98

* F-PROT95

* F-STOPW

* PⅥEW95

* NAVWNT

* NAVRUNR

* NAVLU32

* NAVAPSVC

* NISUM

* SYMPROXYSVC

* RESCUE32

* NISSERV

* ATRACK

* IAMAPP

* LUCOMSERVER

* LUALL

* NMAIN

* NAVW32

* NAVAPW32

* VSSTAT

* VSHWIN32

* AVSYNMGR

* AVCONSOL

* WEBTRAP

* POP3TRAP

* PCCMAIN

* PCCIOMON

偶尔会利用“Incorrect MIME header”漏洞，使病毒在未安装修补程式的系统中自动执行。

将自身複製到 Recycled 资料夹，或複製到 %Windows% 资料夹，这取决于 Recycled 资料夹的名称。档案名称由六个随机数字组成。

将自身配置为在每次执行 .exe 档案时执行，方法是将下列注册表键的默认值

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

更改为

[WormName]" %1 %*

此外，还会在 Windows 资料夹中创建一个随机命名的文本档案，例如 [Random File Name].txt。档案包含下列内容：

<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

iNDian sNakes pResents yAha.E

iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites

bY

sNAkeeYes,c0Bra

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多作业系统会安装不必要的辅助服务，如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程式更新即可完成。

* 如果混合型威胁攻击了一个或多个网路服务，则在套用补丁程式之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程式，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）.. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时套用。

* 强制执行密码策略。複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件，这些档案常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附属档案。并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式，那幺访问受感染的网站也会造成病毒感染。

使用防毒工具防毒

Symantec 提供了杀除 W32.Yaha.E@mm 和 W32.Yaha.F@mm 的工具。单击此处可获得该工具。

这是杀除这些蠕虫的最简便方法，应首先尝试此方法。

手动防毒步骤

如果蠕虫尚未运行，且 Norton AntiVirus 在电子邮件中或蠕虫试图执行时检测到 W32.Yaha.F@mm，只需删除它即可。

如果您没有最新的病毒定义，或自动防护功能未启用，且蠕虫已执行，则必须执行下列操作：

⒈ 通过“智慧型更新程式”下载最新的病毒定义，但不要安装。

⒉ 以安全模式重新启动计算机。

⒊ 将 Regedit.exe 複製为 Regedit.com。

⒋ 编辑注册表，撤消蠕虫所做的更改。

⒌ 安装“智慧型更新程式”下载的最新的病毒定义。

⒍ 从命令行使用 Norton AntiVirus 进行扫描。

⒎ 重新启动计算机。

⒏ 重新安装 Norton AntiVirus。

⒈ 下载病毒定义

使用“智慧型更新程式”下载病毒定义，并将档案保存到 Windows 桌面。这是必须执行的第一步操作，它确保您在后续的防毒过程中具有最新的病毒定义。“智慧型更新程式”病毒定义可从此处获得：

http://securityresponse.symantec.com/avcenter/defs.download.html

有关如何从 Symantec 安全回响中心 Web 站点下载并安装“智慧型更新程式”病毒定义的详细指导，请参阅文档：如何使用智慧型更新程式更新病毒定义档案。

警告：不要在此刻安装病毒定义。只需下载即可。

⒉ 以安全模式重新启动计算机。

⒈ 关闭计算机，关掉电源。等待 30 秒。请不要跳过此步骤。

⒉ 除 Windows NT 外，所有的 Windows 32 位作业系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅有关如何以安全模式启动计算机的文档。

⒊ 将 Regedit.exe 複製为 Regedit.com：

由于蠕虫修改了注册表，使您不能运行 .exe 档案，所以必须首先生成注册表编辑器程式档案的副本，并将其扩展名改成 .com，然后再运行该档案。

⒈ 根据您运行的作业系统，执行下列任一操作：

o Windows 95/98 用户：单击“开始”，指向“程式”，然后单击“MS-DOS 方式”。这将打开 DOS 视窗，提示符是 C:\WINDOWS\。转至此部分的步骤 2。

o Windows Me 用户：单击“开始”，指向“程式”，再指向“附属档案”，然后单击“MS-DOS 方式”。这将打开 DOS 视窗，提示符是 C:\WINDOWS\。转至此部分的步骤 2。

o Windows NT/2000 用户：

⒈ 单击“开始”，然后单击“运行”。

⒉ 键入下列内容，然后按 Enter 键：

command

将打开 DOS 视窗。

⒊ 键入下列内容，然后按 Enter 键：

cd \winnt

⒋ 转至此部分的步骤 2。

⒈ Windows XP：

⒈ 单击“开始”，然后单击“运行”。

⒉ 键入下列内容，然后按 Enter 键：

command

将打开 DOS 视窗。

⒊ 键入下列内容，每键入完一行即按 Enter 键：

cd\

cd \windows

⒋ 继续执行此部分的步骤 2。

⒉ 键入下列内容，然后按 Enter 键：

copy regedit.exe regedit.com

⒊ 键入下列内容，然后按 Enter 键：

start regedit.com

注册表编辑器将出现在 DOS 视窗前面。编辑完注册表之后，请退出注册表编辑器，然后退出 DOS 视窗。

⒋ 只有在完成上述步骤之后，才可继续进行下一部分“编辑注册表，撤消蠕虫所做的更改”。

⒋ 编辑注册表，撤消蠕虫所做的更改：

警告：Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改，可能导致永久性数据丢失或档案损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

⒈ 导航至并选择下列键：

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

警告：HKEY_LOCAL_MACHINE\Software\Classes 键中包含许多引用了其它档案扩展名的子键。其中之一是 .exe。更改此扩展名可使扩展名为 .exe 的档案不能运行。请确保是沿着此路径浏览到 \command 子键的。

修改下图中所示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子键：

<<=== 注意：请修改此键。

⒉ 双击右窗格中的（默认）值。

⒊ 删除当前值数据，然后键入 "%1" %*（即键入下列字元：引号、百分号、1、引号、空格、百分号、星号）。

注意：

* 在 Windows 95/98/Me 和 Windows NT 系统中，注册表编辑器会自动将值放在引号中。单击“确定”时，（默认）值应如下所示：

* ""%1" %*"

* 在 Windows 2000/XP 系统中，不会显示附加的引号。单击“确定”时，（默认）值应如下所示：

* "%1" %*

* 在键入正确的数据前，请确保已完全删除 command 键中的所有值数据。如果在键的开头不小心留了一个空格，则尝试运行任何程式档案时都将产生错误讯息“Windows 找不到 .exe”。如果出现这种情况，请重新从此文档的开头进行检查，并确保完全删除当前值数据。

⒋ 重新启动计算机。

⒌ 如果尚未这样做，请运行 Live Update，然后按照下一部分“从命令行使用 Norton AntiVirus (NAV) 进行扫描”中的说明运行完整的系统扫描。

⒌ 安装智慧型更新程式更新过的病毒定义：

双击步骤 1 中下载的档案。出现提示时，单击“是”或“确定”。

⒍ 从命令行使用 Norton AntiVirus (NAV) 进行扫描

由于某些 NAV 档案遭到蠕虫的破坏，所以必须从命令行进行扫描。

注意：以下指导仅适用于 NAV 单机版。档案 Navw32.exe 不是 NAV 企业版（如 NAVCE）的一部分。NAVCE 的命令行扫描程式（即 Vpscan.exe）不会杀除蠕虫。

⒈ 单击“开始”，然后单击“运行”。

⒉ 键入（或複製并贴上）下列内容，然后单击“确定”：

NAVW32.EXE /L /ⅥSIBLE

⒊ 运行扫描。删除所有检测为带 W32.Yaha.F@mm 的档案。

⒎ 重新启动计算机：

关闭计算机，关掉电源。等待 30 秒，然后重新启动。

警告：这一步非常重要。如果不执行此步骤，会再次感染病毒。

⒏ 重新安装 NAV

必须从原始安装光碟或下载档案重新安装 NAV。有关详细信息，请参阅文档：杀除病毒后如何恢复 Norton AntiVirus。

⒐ 重新启动计算机并再次扫描

⒈ 关闭计算机，关掉电源。等待 30 秒，然后重新启动。

⒉ 运行 LiveUpdate 并下载最新的病毒定义和程式更新。

⒊ 启动 Norton AntiVirus (NAV），并确保将 NAV 配置为扫描所有档案。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有档案。

⒋ 运行完整的系统扫描。

⒌

描述者：Douglas Knowles