|
 | 作者: zhangliyi [zhangliyi]
 论坛用户 |
登录 |
| 我的电脑发现win32.yaha病毒,好像用杀毒软件也杀不了它.怎么办? |
| 地主 发表时间: 04/09 17:13 |
 | 回复: CyberSpy [cyberspy]  论坛用户 |
登录 |
|
“夏娃”变种(WORM/YAHA.L)的恶性蠕虫病毒 它会结束内存中一些特定的杀毒软件或防火墙的运行,修改注册表和IE,还可向特定网站发起DOS(拒绝服务)攻击。江民反病毒专家介绍,“夏娃”变种(WORM/YAHA.L)病毒别名为:W32/Yaha.l, I-Worm.Lentin.j, W32/Yaha-L, W32.Yaha.L@mm,病毒大小为34,304 Bytes (UPX压缩),77,824 Bytes (不压缩)。病毒感染的有效系统为所有WINDOWS操作系统。该蠕虫是Yaha病毒的一个新变种,使用VC++编写,通过邮件传播,把自己作为邮件附件发送给被感染系统中从Windows地址薄、Yahoo Instant Messenger、MSN和.NET Messenger Services以及扩展名包含HT的文件中找到的地址,邮件主题、内容和附件名称都是随机选择的。与其他Yaha蠕虫的变种一样,它会从内存中结束一些特定杀毒软件或防火墙的进程,它的行为整体上与W32/Yaha.K相似,除了触发的条件不一样。它也会弹出消息框、交换鼠标左右键功能,在用户个人文件夹(通常是C:\My Documents)和桌面留下一些没有病毒的文本文件,这些文件都是隐藏的,并且会把IE的主页修改成其他站点。 病毒运行时,把自己拷贝到下面的文件:%System%\NAV32_LOADER.EXE %System%\TCPSVS32.EXE %System%\WINSERVICES.EXE 病毒可能会根据系统当前时间在系统文件夹中生成以.EXE或.SCR为后缀的不同的文件。 蠕虫还修改了注册表,用户下次运行EXE文件时,会运行TCPSVS32.EXE或WINSERVICES.EXE。 向注册表中添加下面的键值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, "WinServices" = %System%\WinServices.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices, "WinServices" = %System%\WinServices.exe HKEY_CLASSES_ROOT\exefile\shell\open\command (默认值) = %System%\nav32_loader.exe "%1"%* 蠕虫有它自己的SMTP引擎,可以连接到IP地址12.127.17.71,向下面的邮件地址发送邮件: Windows地址薄(WAB) ;Yahoo Messenger中的邮件地址;MSN和.NET Messenger Services中的邮件地址;扩展名中包含HT的文件。 邮件地址为从系统中找到的邮件地址,邮件发送方为被感染系统的用户名或者病毒随机分配的特定内容,邮件内容为病毒生成的特定内容中的一个,附件为以.exe和.scr为扩展名的文件,病毒通常隐藏其中。 病毒会对巴基斯坦的一个指定的网站infopak.gov.pk进行拒绝服务攻击(DoS攻击),同时禁用系统中正在运行的杀毒软件和系统工具。如果系统是WIN2000或XP,病毒还会从内存中结束任务管理器程序。 病毒根据不同的触发条件,产生以下不同的行为: 如果系统日期是3月25或5月22,显示下面特点的消息框: 标题: You are my Best Friend 内容: Happy Birthday Dear 点击了OK按钮,蠕虫就交换了左右键功能。 如果当前系统日期是星期三,蠕虫首先会在桌面上生成一个隐藏的文本文件,文件名是6个随机的数字,文件中可能是病毒生成的特定内容中任一串字符串。 病毒将感染系统的IE首页改为以下的站点: http://www.unixdeout.com http://www.hish.tk http://www.nerder.box.sk http://www.blasun.box.sk http://www.coerz.net http://www.haers.com/html/neohaven.html http://www.ankfadia.com http://www.hvg.tk http://www.hacksclub.up.to http://geocities.com/snaky3s 然后,把用户个人文件夹(一般是C:\My Documents)中的所有文件和文件夹设成隐藏的。 江民已在第一时间拿出了该病毒的解决方案。 江民公司提醒用户,及时升级更新您手中的KV3000杀毒王病毒库,即可对此病毒进行有效前杀和清除。由于该病毒现已在国外大规模暴发,因而上网或收发邮件时切记打开KV3000杀毒王的实时监控。 已感染的用户,具体清除办法如下: 1.按CTR+ALT+DEL打开任务管理器,从列表中选择WinServices 和 Tcpsvs32,点击[结束进程]或[结束任务]; 2.把文件Regedit.exe拷贝成Regedit.com,并运行Regedit.com打开注册表编辑器,修改键HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command的默认值为"%1" %* ; 删除下面的键值: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run, "WinServices" = %System%\WinServices.exe HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices, "WinServices" = %System%\WinServices.exe 3.删除桌面上可疑的文本文件,修改IE的主页; 4.更新KV3000杀毒王病毒库,全面扫描系统,把检测到感染WORM/YAHA.L的文件删除。 |
| B1层 发表时间: 04/10 10:47 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 我的电脑发现win32.yaha病毒,怎么办?