中新網1月2日電 1月2日凌晨,江民快速反病毒小組最新監測到一種名為“夏娃”變種(WORM/YAHA.L)的惡性蠕蟲病毒。該病毒目前正在瘋狂肆虐,現在已經使全世界范圍內的幾萬臺電腦受到了感染。它會結束內存中一些特定的殺毒軟件或防火墻的運行,修改注冊表和IE,還可向特定網站發起DOS(拒絕服務)攻擊。
反病毒專家介紹,“夏娃”變種(WORM/YAHA.L)病毒別名為:W32/Yaha.l, I-Worm.Lentin.j, W32/Yaha-L, W32.Yaha.L@mm,病毒大小為34,304 Bytes (UPX壓縮),77,824 Bytes (不壓縮)。病毒感染的有效系統為所有WINDOWS操作系統。
該蠕蟲是Yaha病毒的一個新變種,使用VC++編寫,通過郵件傳播,把自己作為郵件附件發送給被感染系統中從Windows地址薄、Yahoo Instant Messenger、MSN和.NET Messenger Services以及擴展名包含HT的文件中找到的地址,郵件主題、內容和附件名稱都是隨機選擇的。與其他Yaha蠕蟲的變種一樣,它會從內存中結束一些特定殺毒軟件或防火墻的進程,它的行為整體上與W32/Yaha.K相似,除了觸發的條件不一樣。它也會彈出消息框、交換鼠標左右鍵功能,在用戶個人文件夾(通常是C:\My Documents)和桌面留下一些沒有病毒的文本文件,這些文件都是隱藏的,并且會把IE的主頁修改成其他站點。
蠕蟲有它自己的SMTP引擎,可以連接到IP地址12.127.17.71,向下面的郵件地址發送郵件:Windows地址薄(WAB);Yahoo Messenger中的郵件地址;MSN和.NET Messenger Services中的郵件地址;擴展名中包含HT的文件。郵件地址為從系統中找到的郵件地址,郵件發送方為被感染系統的用戶名或者病毒隨機分配的特定內容,郵件內容為病毒生成的特定內容中的一個,附件為以.exe和.scr為擴展名的文件,病毒通常隱藏其中。
病毒會對巴基斯坦的一個指定的網站infopak.gov.pk進行拒絕服務攻擊(DoS攻擊),同時禁用系統中正在運行的殺毒軟件和系統工具。如果系統是WIN2000或XP,病毒還會從內存中結束任務管理器程序。
病毒根據不同的觸發條件,產生以下不同的行為。如果系統日期是3月25或5月22,顯示下面特點的消息框:標題:You are my Best Friend; 內容:Happy Birthday Dear;點擊了OK按鈕,蠕蟲就交換了左右鍵功能。如果當前系統日期是星期三,蠕蟲首先會在桌面上生成一個隱藏的文本文件,文件名是6個隨機的數字,文件中可能是病毒生成的特定內容中任一串字符串,病毒將感染系統的IE首頁更改后,把用戶個人文件夾(一般是C:\My Documents)中的所有文件和文件夾設成隱藏的。
由于該病毒現已在國外大規模暴發,相關專家提醒電腦用戶在上網或收發郵件時切記打開KV3000殺毒王的實時監控。
