荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: novate (我走我路), 信区: Virus
标  题: 最新病毒W32/Yarner@MM小档案
发信站: 荔园晨风BBS站 (Fri Apr  5 22:14:28 2002), 转信

发布日期:2002年2月22日

    病毒名称:W32/Yarner@MM
  
  发现日期:2002-02-18
  
  最早出现国家:德国
  
  长度:437760字节
  
  病毒类型:Win32蠕虫病毒
  
  别名:I-Worm.Yarner.a (AVP), I-Worm.Yarner.b (AVP),
Trojan.Yaw.20 (MkS_vir), W32.Yarner.A@mm (NAV), W32/Yarner (Sophos),
W32/Yarner.A@mm (Norman), Win32/Yarner.A worm (ESET), Win32/Yarner.
B@mm
(GeCAD), Win32/Yaw.A worm (ESET), Win32/Yawer, Yaw, yawsetup.exe
  
  病毒特征:
  该蠕虫病毒有它自己的SMTP电子邮件引擎,能够从Outlook的地址簿中获

取所有的邮件地址以及所有后缀为.pl, .php, .htm, .shtm, and .cgi的文件,

并把这些获取的文件保存在kernei32.daa文件当中。
  它从以下注册表键中获取系统默认的SMTP服务器:
  · HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\
  Accounts\SMTP Server
  并把这些及其它服务器的详细信息保存在kernei32.daa文件中。此病毒

还会以一个随机选择的名字将自身拷贝至Windows文件夹中,同时创建注册表运行

键值,这样在系统启动时病毒自动运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Runonce
  
  另外,它还会覆盖记事本文件notepad.exe,将原notepad.exe拷贝至
notedpad.exe文件中。更为可恶的是,它会删除C盘中所有未锁定的文件。其邮件

信息如下:
  From: (假造的) webmaster@trojaner-info.de
  主题: Trojaner-Info Newsletter 18.02.02 (日期随机器中毒的日期而

改变)
  附件: yawsetup.exe
  


  翻译成英文如下:
  Hello!
  Welcome to the latest newsletter from Trojaner-Info.de
  1. YAW 2.0 - the latest version of our porn-dialer warner
  
  ****
  
  1. YAW 2.0 - Our porn-dialer warner in its latest version.
  
  Our widely used Dialerwarner YAW is now available in a brand
new and enhanced version. All
  subscribers to our newsletter get this version for free with
this newsletter.
  
  Just start the attached file and YAW 2.0 installs itself.
  
  If there are any questions the programmer of this unique tool
is available at
  [...]
  
  Have fun with YAW!
  
  http://www.trojaner-info.de/dialer/yaw.shtml
  
  ****
  
  That‘s it with the latest Trojaner-Info news, thank you for
your attention and we wish all our
  readers a pleasant week.
  余下的部分便是标准的时事通讯的标题部分。注意:其中提到的人及网

站并不是此病毒的制造者。
  文件末尾是一段评论:
  Als kleines Dankesch鰊 von der Pornoindustrie. Das ist nur der

Anfang, wenn ihr nicht aufhoert
  
  中毒迹象:
  中毒后会在Windows目录下出现如下三个文件:
  · NOTEDPAD.EXE
  · KERNEL32.DAA
  · KERNEL32.DAS
  
  感染方式:
  运行附件yawsetup.exe即会感染。

来源:金山反病毒资讯网
--


相见不如怀念。
记忆不如忘却。

“相濡以沫,不若相忘于江湖也。”
                  ——《庄子·大宗师》

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.1.188]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店