|
Yarner病毒善伪装 可能删Windows系统文件
起源于德国的一种危险的蠕虫病毒正在互联网上传播,执行后,它可能删除Windows的系统文件。
Yarner(w32.yarner.a@mm)病毒将自己伪装成来自一个合法的安全网站上与特洛伊木马有关的通讯报道,它实际上是一个用Delphi编写的大小为434K的Windows PE EXE文件。一旦执行,它能够删除被感染的计算机上的Windows目录。
Yarner是通过电子邮件传播的,它将自己伪装成来自webmaster@trojaner-info.de的电子邮件,尽管这是一个真实的地址,但并不是Yarner的“发源地”。携带Yarner病毒的电子邮件的主题为“Trojaner-Info新闻通讯[当前日期]”,内容是用德语写成的,邮件的附件名称是yawsetup.exe。
附件执行后,Yarner将把自己拷贝成Windows目录下的notedpad.exe文件,覆盖掉系统自带的记事本应用软件。当用户启动记事本时,就会生成二个文件:kerneI32.daa和kerneI32.das,然后就会修改下面的注册文件:HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce [random characters] = [random characters].exe ,其中的random characters可能有多达100种赋值。
Yarner能够获得对Outlook的访问权,然后扫描所有子目录中的.php、.htm、.shtm、.cgi、.pl文件,查找其中的电子邮件地址,利用自带的SMTP引擎发送电子邮件。在发送完电子邮件后,Yarner就会删除Windows下的所有文件。
已经安装了微软提供的安全补丁的Outlook 2002和Outlook 2000用户不会受到该病毒的攻击。包括赛门铁克、趋势在内的大多数的反病毒厂商已经对产品进行了升级,使之能够查杀Yarner病毒。
(chinabyte,2002-02-20)
|
