● W32/Yarner@MM - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (回家的感觉真好), 信区: Virus
标  题: W32/Yarner@MM
发信站: 荔园晨风BBS站 (Thu Feb 21 19:38:35 2002), 站内信件

　　病毒名称：W32/Yarner@MM
　　
　　发现日期：2002-02-18
　　
　　最早出现国家：德国
　　
　　长度：437760字节
　　
　　病毒类型：Win32蠕虫病毒
　　
　　别名：I-Worm.Yarner.a (AVP), I-Worm.Yarner.b (AVP), Trojan.Yaw.20
(MkS_vir), W32.Yarner.A@mm (NAV), W32/Yarner (Sophos), W32/Yarner.A@mm
(Norman), Win32/Yarner.A worm (ESET), Win32/Yarner.B@mm (GeCAD),
Win32/Yaw.A worm (ESET), Win32/Yawer, Yaw, yawsetup.exe
　　
　　病毒特征：
　　该蠕虫病毒有它自己的SMTP电子邮件引擎，能够从Outlook的地址簿中获取所
有的邮件地址以及所有后缀为.pl, .php, .htm, .shtm, and .cgi的文件，并把这
些获取的文件保存在kernei32.daa文件当中。
　　它从以下注册表键中获取系统默认的SMTP服务器：
　　· HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\
　　Accounts\SMTP Server
　　并把这些及其它服务器的详细信息保存在kernei32.daa文件中。此病毒还会以
一个随机选择的名字将自身拷贝至Windows文件夹中，同时创建注册表运行键值，
这样在系统启动时病毒自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　Runonce
　　
　　另外，它还会覆盖记事本文件notepad.exe，将原notepad.exe拷贝至
notedpad.exe文件中。更为可恶的是，它会删除C盘中所有未锁定的文件。其邮件
信息如下：
　　From: (假造的) webmaster@trojaner-info.de
　　主题: Trojaner-Info Newsletter 18.02.02 (日期随机器中毒的日期而改变)

　　附件: yawsetup.exe
　　如图所示：
　　

　　翻译成英文如下：
　　Hello!
　　Welcome to the latest newsletter from Trojaner-Info.de
　　1. YAW 2.0 - the latest version of our porn-dialer warner
　　
　　****
　　
　　1. YAW 2.0 - Our porn-dialer warner in its latest version.
　　
　　Our widely used Dialerwarner YAW is now available in a brand new and
enhanced version. All
　　subscribers to our newsletter get this version for free with this
newsletter.
　　
　　Just start the attached file and YAW 2.0 installs itself.
　　
　　If there are any questions the programmer of this unique tool is
available at
　　[...]
　　
　　Have fun with YAW!
　　
　　http://www.trojaner-info.de/dialer/yaw.shtml
　　
　　****
　　
　　That‘s it with the latest Trojaner-Info news, thank you for your
attention and we wish all our
　　readers a pleasant week.
　　余下的部分便是标准的时事通讯的标题部分。注意：其中提到的人及网站并不
是此病毒的制造者。
　　文件末尾是一段评论：
　　Als kleines Dankesch鰊 von der Pornoindustrie. Das ist nur der
Anfang, wenn ihr nicht aufhoert
　　
　　中毒迹象：
　　中毒后会在Windows目录下出现如下三个文件：
　　· NOTEDPAD.EXE
　　· KERNEL32.DAA
　　· KERNEL32.DAS
　　
　　感染方式：
　　运行附件yawsetup.exe即会感染。

--
          ╭─██──────┬─────────────────────→
          ╰█▉█╮         ██
      ╭━█▉▉█╯         ▉█                          更
      ╰━▉▉██━╮       ▇█                    精
  ╭━━━▇██━━╯       █▇              彩
  ╰━━━█▇━━━━━╮
┄xhjx┄┄┄┄┄┈┅━━╯

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店