● 新病毒伪装成"朋友"屏保小心中度危害的Yaha.b - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (.。o οоO ○ ), 信区: Virus
标  题: 新病毒伪装成"朋友"屏保小心中度危害的Yaha.b病毒
发信站: 荔园晨风BBS站 (Mon Apr  1 10:54:14 2002), 转信

　　病毒名称：Win32.Yaha.B
　　别名：Win32/Yaha.B, W32/Yaha.b@MM
　　病毒种类：Win32
　　病毒类型：邮件蠕虫
　　传播范围：窄
　　传播速度：高
　　危害级别：中
　　
　　病毒特征：
　　该病毒利用自带的SMTP服务器，借助电子邮件向外传播，它的病毒邮件格式如
下：
　　主题：Enjoy this friendship-joke Screen Saver!!!!
　　正文：
　　<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<<<>>>
　　This e-mail is never sent unsolicited. If you need to unsubscribe,

　　follow the instructions at the bottom of the message.
　　***********************************************************
　　
　　Enjoy this friendship-joke Screen Saver and Check ur friends
circle...
　　
　　Send this screensaver from www.friendship.com to everyone you
　　consider a FRIEND, even if it means sending it back to the person
　　who sent it to you. If it comes back to you, then you‘ll know you

　　have a circle of friends.
　　
　　* To remove yourself from this mailing list, point your browser to:

　　http://friendship.com/remove?freescreensaver
　　* Enter your email address ([RECIPIENT address]) in the field
provided and
　　click "Unsubscribe".
　　
　　OR...
　　
　　* Reply to this message with the word "REMOVE" in the subject line.

　　
　　This message was sent to address {recipient address]
　　X-PMG-Recipient: [recipient address]
　　<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<<<>>>
　　
　　附件：friends.scr
　　

　　该病毒初次运行时，会显示一屏保，整个屏保屏幕上都是"Hahahh" 及
"Friendship is Great!!!!!"字样，如图：
　　

　　同时，它会将自身拷贝至c:\recycled目录下，其文件名为随机的五个字符组
合，但后缀为.txt，比如 C:\WINDOWS\pxqjs.txt,这是一个纯文本文件，其内容为
：
　　<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<<<>>>
　　W32.Yaha-II
　　Author : H^H ,h2h@********.com
　　Origin : India,Kerala
　　Dedicated to
　　All the Stupid SW Profs that thinks they r the masters..
　　LOL ,Still I am not a SW Prof..
　　Anybody want my service?sent a mail
　　Confident in MFC,W32API,C,VC++
　　LOL
　　
　　To AV‘s
　　Who the hell named my valentine worm to yaha?
　　Stupid AVs, They don‘t know what my worm is doing..
　　lol lol lol lol lol lol
　　
　　<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
<<<>>>
　　
　　另外，该病毒还会通过直接阅读WAB文件从Windows地址簿中获取电子邮件地址
，而且还会在IE缓冲目录下搜索"*.*ht*" 文件，从而获取更多的有效邮件地址。
而其发送邮件的SMTP服务器是从病毒体内的服务器列表中选取。除了向邮件地址发
送带毒邮件外，它还会使用[电话号码]@bplmobile.com 及[电话号码
]@escotelmobile.com两个邮箱向SMS网关发送信息。其中的电话号码的前五位数字
都是固定不变的，但其余数字则是随机产生的。它发送的这条信息仅仅是一些文本
，如：
　　主题:
　　Have a nice day!!!!
　　
　　正文:
　　We r the Great Indians
　　Enjoy!!!
　　By H^H
　　
　　此外,该蠕虫还会修改IE浏览器的起始页，IE的起始页会随机地改为如下URL地
址：
　　www.malayalamanorama.com
　　www.asianetglobal.com
　　www.kerala.com
　　www.india.com
　　www.malayalamchannel.com
　　www.sunnt.com/suryatv
　　www.achayans.com

--
        ╭╮╭╮╭╮╭╮╭╮╭╮╭╮╭╮╭╮╭╮╭╮╭╮                  ●
    ╭┬┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼ ·····     ╭╯
    ├┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼┼ ·····     ╰╮
  ╭╯│╰╯╰╯╰╯╰╯╰╯╰╯╰╯╰╯╰╯╰╯╰╯╰╯                  ╰╮
●╯  │ 1   2   3   4   5   6   7                                          │
      └──────────────∮─∮─∮─∮─∮─爱上你从来就不曾后悔┘

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店