中新网1月2日电 1月2日凌晨,江民快速反病毒小组最新监测到一种名为“夏娃”变种(WORM/YAHA.L)的恶性蠕虫病毒。该病毒目前正在疯狂肆虐,现在已经使全世界范围内的几万台电脑受到了感染。它会结束内存中一些特定的杀毒软件或防火墙的运行,修改注册表和IE,还可向特定网站发起DOS(拒绝服务)攻击。
反病毒专家介绍,“夏娃”变种(WORM/YAHA.L)病毒别名为:W32/Yaha.l, I-Worm.Lentin.j, W32/Yaha-L, W32.Yaha.L@mm,病毒大小为34,304 Bytes (UPX压缩),77,824 Bytes (不压缩)。病毒感染的有效系统为所有WINDOWS操作系统。
该蠕虫是Yaha病毒的一个新变种,使用VC++编写,通过邮件传播,把自己作为邮件附件发送给被感染系统中从Windows地址薄、Yahoo Instant Messenger、MSN和.NET Messenger Services以及扩展名包含HT的文件中找到的地址,邮件主题、内容和附件名称都是随机选择的。与其他Yaha蠕虫的变种一样,它会从内存中结束一些特定杀毒软件或防火墙的进程,它的行为整体上与W32/Yaha.K相似,除了触发的条件不一样。它也会弹出消息框、交换鼠标左右键功能,在用户个人文件夹(通常是C:\My Documents)和桌面留下一些没有病毒的文本文件,这些文件都是隐藏的,并且会把IE的主页修改成其他站点。
蠕虫有它自己的SMTP引擎,可以连接到IP地址12.127.17.71,向下面的邮件地址发送邮件:Windows地址薄(WAB);Yahoo Messenger中的邮件地址;MSN和.NET Messenger Services中的邮件地址;扩展名中包含HT的文件。邮件地址为从系统中找到的邮件地址,邮件发送方为被感染系统的用户名或者病毒随机分配的特定内容,邮件内容为病毒生成的特定内容中的一个,附件为以.exe和.scr为扩展名的文件,病毒通常隐藏其中。
病毒会对巴基斯坦的一个指定的网站infopak.gov.pk进行拒绝服务攻击(DoS攻击),同时禁用系统中正在运行的杀毒软件和系统工具。如果系统是WIN2000或XP,病毒还会从内存中结束任务管理器程序。
病毒根据不同的触发条件,产生以下不同的行为。如果系统日期是3月25或5月22,显示下面特点的消息框:标题:You are my Best Friend; 内容:Happy Birthday Dear;点击了OK按钮,蠕虫就交换了左右键功能。如果当前系统日期是星期三,蠕虫首先会在桌面上生成一个隐藏的文本文件,文件名是6个随机的数字,文件中可能是病毒生成的特定内容中任一串字符串,病毒将感染系统的IE首页更改后,把用户个人文件夹(一般是C:\My Documents)中的所有文件和文件夹设成隐藏的。
由于该病毒现已在国外大规模暴发,相关专家提醒电脑用户在上网或收发邮件时切记打开KV3000杀毒王的实时监控。