|
“雅纳”病毒新鲜登场 危害性不可小觑
新年刚过的本月18日,互联网上出现了一种新的危害性不可小视的“雅纳”病毒(Yarner)。据金山反病毒应急处理中心的技术人员分析,这是一个Windows PE EXE型的病毒,大小约434K,是用Delphi语言进行编写的。此病毒有自己的电子邮件引擎,会向Outlook地址簿中的所有联系人发送带毒邮件。一旦执行,它会删除被感染机器上的Windows目录及子目录下的所有文件。
虽然目前此病毒的感染只限于德语版的系统平台,但它的新变种可能会以英语或别的语言出现。有鉴于该病毒存在潜在的很强危害性,雅纳病毒的危险级别日前被定义为七级。
最早现身于德国的雅纳病毒,是通过电子邮件进行传播的,其发件人为 Trojaner-Info [webmaster@trojaner-info.de],这是一个确实存在的地址,但不是病毒制作者的邮件地址。它的主题为“Trojaner-Info Newsletter [当前日期]”,正文是用德语写成的一篇新闻时事通讯。附件是yawsetup.exe。此附件一旦运行,病毒就会在Windows目录下生成notedpad.exe文件,并覆盖系统原始的记事本程序文件notepad.exe,这样你每次打开记事本时,雅纳病毒都会用notedpad.exe文件来引藏记事本程序。此外,该病毒还会生成另外两个文件:一个是kerneI32.daa,这是病毒用来写邮件的程序文件,另一个是kerneI32.das,用来使用SMTP引擎的。
它还会修改注册表文件:HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce [随机字符] = [随机字符].exe 上述值可能是从100个随机字符中任意分配的。
为了达到发送邮件的目的,雅纳病毒会访问Outlook地址簿,然后在子目录下搜索所有的.php, .htm, .shtm, .cgi, .pl文件, 并查找其它的邮件地址。随后病毒就使用自身携带的SMTP引擎来发送邮件,并且连接它自己指定的服务器,这些服务器如下:
216.113.14.106 joy-go.gr.jp ctripserver.ctrip.com.cn 202.101.62.207 cocess.cocess.co.kr mail.bizpoint.com.sg ns2.webshock.co.kr olympus.mda.com.tr linux2.ele-china.com mailsvr.hanace.co.kr
邮件成功发送后,它就删除Windows目录下的所有文件。
预防
安装了最新安全补丁的Outlook2002及Outlook2000的用户,即使打开了病毒的附件,都是很安全的。没有升级到2002版或安装最新补丁的用户应尽快升级或安装。一般来讲,千万不要打开附件。
(金山反病毒资讯网,2002-02-21)
|
