精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>[转帖]最新病毒W32/Yarner@MM小档案

主题:[转帖]最新病毒W32/Yarner@MM小档案
发信人: virus2001(幸福的狮子)
整理人: snaix(2002-02-21 22:18:39), 站内信件
最新病毒W32/Yarner@MM小档案

----------------------------------------------------------------------

『金山反病毒资讯网』        2002年02月20日 15:46:41 

  病毒名称:W32/Yarner@MM 
   
  发现日期:2002-02-18 
   
  最早出现国家:德国 
   
  长度:437760字节 
   
  病毒类型:Win32蠕虫病毒 
   
  别名:I-Worm.Yarner.a (AVP), I-Worm.Yarner.b (AVP), Trojan.Yaw.20 (MkS_vir), W32.Yarner.A@mm (NAV), W32/Yarner (Sophos), W32/Yarner.A@mm (Norman), Win32/Yarner.A worm (ESET), Win32/Yarner.B@mm (GeCAD), Win32/Yaw.A worm (ESET), Win32/Yawer, Yaw, yawsetup.exe 
   
  病毒特征: 
  该蠕虫病毒有它自己的SMTP电子邮件引擎,能够从Outlook的地址簿中获取所有的邮件地址以及所有后缀为.pl, .php, .htm, .shtm, and .cgi的文件,并把这些获取的文件保存在kernei32.daa文件当中。 
  它从以下注册表键中获取系统默认的SMTP服务器: 
  · HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\ 
  Accounts\SMTP Server 
  并把这些及其它服务器的详细信息保存在kernei32.daa文件中。此病毒还会以一个随机选择的名字将自身拷贝至Windows文件夹中,同时创建注册表运行键值,这样在系统启动时病毒自动运行:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ 
  Runonce 
   
  另外,它还会覆盖记事本文件notepad.exe,将原notepad.exe拷贝至notedpad.exe文件中。更为可恶的是,它会删除C盘中所有未锁定的文件。其邮件信息如下: 
  From: (假造的) [email protected] 
  主题: Trojaner-Info Newsletter 18.02.02 (日期随机器中毒的日期而改变) 
  附件: yawsetup.exe 
  如图所示:
 
翻译成英文如下: 
  Hello! 
  Welcome to the latest newsletter from Trojaner-Info.de 
  1. YAW 2.0 - the latest version of our porn-dialer warner 
   
  **** 
   
  1. YAW 2.0 - Our porn-dialer warner in its latest version. 
   
  Our widely used Dialerwarner YAW is now available in a brand new and enhanced version. All 
  subscribers to our newsletter get this version for free with this newsletter. 
   
  Just start the attached file and YAW 2.0 installs itself. 
   
  If there are any questions the programmer of this unique tool is available at 
  [...] 
   
  Have fun with YAW! 
   
  http://www.trojaner-info.de/dialer/yaw.shtml 
   
  **** 
   
  That‘s it with the latest Trojaner-Info news, thank you for your attention and we wish all our 
  readers a pleasant week. 
  余下的部分便是标准的时事通讯的标题部分。注意:其中提到的人及网站并不是此病毒的制造者。 
  文件末尾是一段评论: 
  Als kleines Dankesch鰊 von der Pornoindustrie. Das ist nur der Anfang, wenn ihr nicht aufhoert 
   
  中毒迹象: 
  中毒后会在Windows目录下出现如下三个文件: 
  · NOTEDPAD.EXE 
  · KERNEL32.DAA 
  · KERNEL32.DAS 
   
  感染方式: 
  运行附件yawsetup.exe即会感染。


----
服务为网民

我的主页:http://www.virus20XX.tk
电子邮件: [email protected]
QQ:76025852          
[关闭][返回]