W32.Yaha.L@mm – továbbra is célkeresztben a dokumentumok

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg
Tartalom: egy képernyővédő-küldő szolgáltatás szövege
Csatolmány: véletlenszerűen választott, dupla kiterjesztésű állomány, az első kiterjesztés lehet .pdf, .gif, .ppt, .jpg vagy .doc; a második: .scr

A féreg paraméterei

Felfedezésének ideje: 2002. december 30.
Védekezés elkészültének ideje: 2002. december 31.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 34.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: WinServices.exe, Nav32_loader.exe, Tcpsvs32.exe
– hozzáadja a WinServices.exe C:/[System elérési útvonala]/winRWinServices.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/WinServices.exe˝%1 %* bejegyzésre való módosításának
– antivírus és tűzfal szoftverek processeit képes kiiktatni
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből az e-mailcímeket
– saját SMTP motorjával továbbítja magát
– amennyiben a rendszerdátum március 22-e vagy május 25-e, megjelenít egy ablakot, melynek fejléce: You are my best friend, szövege: Happy Birthday Dear
– keddenként véletlenszerűen átállítja az Internet Explorer kezdőlapját, az alábbiakból válogatván:
http://www.unixhideout.com
http://www.hirosh.tk
http://www.neworder.box.sk
http://www.blacksun.box.sk
http://www.coderz.net
http://www.hackers.com/html/neohaven.html
http://www.ankitfadia.com
http://www.hrvg.tk
http://www.hackersclub.up.to
http://geocities.com/snak33y3s
– szintén ezen a napon megkeresi a felhasználó dokumentumainak helyét (a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Registry kulcsból gyűjti ki az információt), majd törli a könyvtárat
– létrehozza az aYeHS.txt file-t a desktopon, rejtett és arhív attributummal; az állomány a következő tartalommal rendelkezik:
============================================================
r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. 😉 )
w3 aRe tHe gRe@t 1nD1aN$..
——————————————————
m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
s00 mUch t0 c0me..
iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

eXp3ct th3 uNeXp3ctEd

dEdic@t3d t0 : mY b3$t fRi3nD
============================================================
>> qph@hackermail.com
– tartalmaz olyan kódot is, amely a K változatban nem volt megtalálható