Yaha.AD

Létrehozva: 2007-11-12, 16:17:12

Utolsó frissítés: 2009-11-09, 20:16:01

Platform: Win32

Típus: féreg

Méret: 60688

Dátum: 2003-09-17

Tömörítő: FSG

Nyelv: Visual C++

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Yaha.AD féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Yaha-V
AVG	I-Worm/Yaha.H
BitDefender	Win32.Yahaa.U@mm
e-Trust	Win32/Yaha.X
F-PROT	W32/Lentin.F@mm
F-Secure	Email-Worm.Win32.Lentin.q
Ikarus	Email-Worm.Win32.Lentin.Q
Kaspersky	Email-Worm.Win32.Lentin.q
McAfee	W32/Yaha.x@MM(Virus)

vírusvédelem	elnevezés
Microsoft	Win32/Yaha.U@mm
NOD32 (ESET)	Win32/Yaha.AD
Norton Antivirus	W32.Yaha.AB@mm
Panda	Worm Generic
Rising Antivirus	Worm.Lentin.u
Sophos	W32/Yaha-W
Trend Micro	WORM_YAHA.U
VirusBuster	I-Worm.Yaha.X

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Yaha.AD féreg a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza az alábbi fájlokat:

Love.scr
Project.exe
Romantic.scr
FixKlez.com
FixElkern.com
teljes lista...

A Win32/Yaha.AD féreg a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat:

TASKMGR32.DLL
exeld32.exe
EXELD32.EXE
EXPLORERE.EXE
REGE32.EXE

A Win32/Yaha.AD féreg a Windows Startup mappájában létrehozza a(z) MSRegScanner.exe nevű fájlt.

A Win32/Yaha.AD féreg az alábbi fájlokat hozza létre:

C:\Documents and Settings\<user>\Cookies\anyuser@yahoo.com.txt
C:\Documents and Settings\<user>\Cookies\cookie.dat

Az állományok létrehozása mellett a vírusok, férgek esetenként más alkalmazáshoz, esetleg másik vírushoz, féreghez tartozó állományokat is letörölnek.

A Win32/Yaha.AD féreg letörli az alábbi fájlokat:

C:\WINDOWS\System32\WinRpcsrv.exe
C:\WINDOWS\System32\WinGate.exe
C:\WINDOWS\System32\syshelp.exe
C:\WINDOWS\System32\tcpsvs32.exe
C:\WINDOWS\System32\nav32_loader.exe
teljes lista...

Megjegyzés: A leírásban szereplő <user> a felhasználó nevét jelöli.

A féreg kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:

A Win32/Yaha.AD féreg a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MicrosoftServiceManager"="C:\WINDOWS\System32\EXPLORERE.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "MicrosoftServiceManager"="C:\WINDOWS\System32\EXPLORERE.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] "@"="C:\WINDOWS\System32\EXELD32.EXE" \"%1\"%*
[HKEY_CLASSES_ROOT\exefile\shell\open\command] "@"="C:\WINDOWS\System32\EXELD32.EXE" \"%1\"%*

A rendszerleíró adatbázisba a(z) [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WinVer] helyen véletlenszerű tartalommal hoz létre bejegyzést.

Annak érdekében, hogy egy féreg, vírus egy esetlegesen a megtámadott számítógépen lévő másik károkozó működését korlátozni tudja, ezért a képesek arra, hogy a rendszerleíró adatbázisból a másik vírusra vagy féregre vonatkozó bejegyzéseket töröljék. Előfordulhat az is, hogy így próbálják elejét venni, hogy egy alkalmazás (például vírusvédelem vagy tűzfal) a gép újraindításával aktivizálódjon.

A Win32/Yaha.AD féreg a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinServices"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "syshelp"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinGate initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Module Call initialize"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WinServices"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WindowsMGM"

Az újraindítást követő aktivizálódás elérésének számos egyéb lehetősége is van. A Windows működése során néhány olyan szöveges, konfigurációs állományt is használ, mely lehetőséget ad az automatikus elindulásra.

A Win32/Yaha.AD féreg a C:\Windows\Win.ini fájl [windows] szekciójába a(z) run = C:\Windows\REGE32.EXE bejegyzést teszi.

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Yaha.AD féreg az alábbi mutexeket hozza létre:

SPAWNER
INS
TASK32

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Yaha.AD féreg leállítja azon folyamatokat, melyek nevében szerepelnek a következő szótöredékek:

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
teljes lista...

AAAA
WINK
NAV32_LOADER
TCPSVS32
WINSERVICES
zonealarm
zapro
WRCTRL
WrCtrl
WRADMIN
WrAdmin
WIMMUN32
WGFE95
WEBTRAP
WEBSCANX
WATCHDOG
VSSTAT
vsmon
VSMAIN
VSHWIN32
vshwin32
VSECOMR
VSCHED
VPTRAY
VPC32
VIR-HELP
VETTRAY
VetTray
VET95
Vet95
VET32
VbCons
vbcmserv
TFAK
TDS-3
TCM
TCA
TAUMON
SYMTRAY
SymProxySvc
SWNETSUP
SweepNet
SWEEP95
SS3EDIT
SPYXX
SPHINX
Sphinx
Smc
SCRSCAN
SCAN32
sbserv
RULAUNCH
RTVSCN95
RESCUE
Rescue
REALMON
RAV7WIN
RAV7
PVIEW95
PROGRAMAUDITOR
PROCESSMONITOR
PORTMONITOR
POPROXY
POP3TRAP
PERSWF
PERSFW
pcscan
PCCWIN98
pccwin97
pccntmon
PCCIOMON
pavproxy
PAVPROXY
PADMIN
NWTOOL16
NWService
NVSVC32
NVC95
Nupgrade
NTXconfig
NTVDM
ntrtscan
NSCHED32
NPSSVC
npscheck
NPROTECT
notstart
NORMIST
NMAIN
NISUM
NISSERV
NETUTILS
NeoWatchLog
NDD32
NAVWNT
NAVW32
Navw32
NAVLU32
NAVENGNAVEX15
NAVAPW32
navapw32
navapsvc
NAVAP
NAV Auto-Protect
MWATCH
MPFSERVICE
MOOLIVE
MONITOR
Monitor
MINILOG
MGHTML
MGAVRTE
MGAVRTCL
MCVSSHLD
MCVSRTE
MCUPDATE
MCTOOL
MCMNHDLR
MCAGENT
LUSPT
LUCOMSERVER
LUALL
LOCKDOWN2000
lockdown2000
LOCKDOWN
LDSCAN
LDPROMENU
LDNETMON
JEDI
ISRV95
IOMON98
IFACE
ICSUPPNT
ICSUPP95
ICSUPP95
ICMON
ICLOADNT
ICLOAD95
IAMSTATS
IAMSERV
iamserv
IAMAPP
iamapp
GUARDDOG
GUARD
GENERICS
gbpoll
GBPOLL
gbmenu
F-STOPW
f-stopw
fsmb32
fsma32
fsm32
fsgk32
fsav32
fsaa
FRW
FP-WIN
F-PROT95
F-PROT
fnrb32
fih32
fch32
fameh32
F-AGNT95
EXPERT
EVPN
ETRUSTCIPE
EFPEADM
DVP95_0
DVP95
DOORS
DEFWATCH
defscangui
defalert
CTRL
CPDClnt
CPD
CONNECTIONMONITOR
CMGrdian
CMGRDIAN
cleaner3
cleaner
CLAW95CF
Claw95cf
CLAW95
Claw95
cfgWiz
BlackICE
BLACKD
blackd
AVXW
AVXQUAR
AVXMONITORNT
AVXMONITOR9X
AVWINNT
AVSYNMGR
AVSYNMGR
AvSynMgr
Avsched32
AVPM
avpm
AVPCC
AVP32
AVP
avkwctl9
avkservice
AvkServ
avkpop
AVGW
AVGSERV9
AVGSERV
AvgServ
Avgctrl
AVGCTRL
AVGCC32
AVCONSOL
AutoTrace
AutoDown
AUTODOWN
ATWATCH
ATUPDATER
ATCON
apvxdwin
APVXDWIN
ANTS
ANTI-TROJAN
AMON9X
alogserv
ALOGSERV
ALERTSVC
ADVXDWIN
ACKWIN32
AckWin32
_AVPM
_AVPCC
_AVP32
Process Viewer
Registry Editor
System Configuration Utility
Windows Task Manager
vissza...

A Win32/Yaha.AD féreg leállítja az alábbi folyamatokat:

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
teljes lista...

WINMGM32.EXE
SYSHELP.EXE
WINGATE.EXE
zonealarm.exe
zapro.exe
WRCTRL.EXE
WrCtrl.exe
WRADMIN.EXE
WrAdmin.exe
WIMMUN32.EXE
WGFE95.EXE
WEBTRAP.EXE
WEBSCANX.EXE
WATCHDOG.EXE
VSSTAT.EXE
VSMON.EXE
vsmon.exe
VSMAIN.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCHED.EXE
VPTRAY.EXE
VPC32.EXE
VIR-HELP.EXE
VETTRAY.EXE
VetTray.exe
VET95.EXE
Vet95.exe
VET32.EXE
VET32.exe
VbCons.exe
vbcmserv.exe
TFAK.EXE
TDS-3.EXE
TCM.EXE
TCA.EXE
TC.EXE
TAUMON.EXE
SYMTRAY.EXE
SymProxySvc.exe
SWNETSUP.EXE
SWEEP95.EXE
SS3EDIT.EXE
SPYXX.EXE
SPHINX.EXE
Sphinx.exe
SMC.EXE
SCRSCAN.EXE
SCAN32.EXE
sbserv.exe
RULAUNCH.EXE
RTVSCN95.EXE
RESCUE.EXE
Rescue.exe
REALMON.EXE
RAV7WIN.EXE
RAV7.EXE
rapapp.exe
PVIEW95.EXE
PROGRAMAUDITOR.EXE
PROCESSMONITOR.EXE
PORTMONITOR.EXE
POPROXY.EXE
POP3TRAP.EXE
PERSWF.EXE
PERSFW.EXE
pcscan.EXE
PCCWIN98.EXE
pccwin97.EXE
pccntmon.EXE
PCCIOMON.EXE
pavproxy.exe
PAVPROXY.EXE
PADMIN.EXE
NWTOOL16.EXE
NWService.exe
NVC95.EXE
Nupgrade.exe
Nui.EXE
NTXconfig.exe
NTVDM.EXE
ntrtscan.EXE
NSCHED32.EXE
NPSSVC.EXE
npscheck.exe
NPROTECT.EXE
notstart.exe
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NISSERV.EXE
NETUTILS.EXE
NeoWatchLog.exe
NDD32.EXE
NAVWNT.EXE
Navw32.exe
NAVLU32.EXE
NAVAPW32.EXE
navapsvc.exe
NAVAPSVC.EXE
MWATCH.EXE
MWATCH.exe
MPFTRAY.EXE
MPFSERVICE.exe
MPFAGENT.EXE
MOOLIVE.EXE
MONITOR.EXE
Monitor.exe
MINILOG.EXE
MGHTML.EXE
MGAVRTE.EXE
MGAVRTCL.EXE
MCVSSHLD.EXE
MCVSRTE.EXE
MCUPDATE.EXE
MCTOOL.EXE
Mcshield.exe
MCMNHDLR.EXE
MCAGENT.EXE
LUSPT.exe
LUCOMSERVER.EXE
LUALL.EXE
LOCKDOWN2000.EXE
lockdown2000.exe
LOCKDOWN.EXE
LDSCAN.EXE
LDPROMENU.EXE
LDNETMON.EXE
JEDI.EXE
ISRV95.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IAMSTATS.EXE
IAMSERV.EXE
iamserv.exe
IAMAPP.EXE
iamapp.exe
GUARDDOG.EXE
GUARD.EXE
GENERICS.EXE
gbpoll.exe
GBPOLL.EXE
gbmenu.exe
F-STOPW.EXE
fsmb32.exe
fsma32.exe
fsm32.exe
fsgk32.exe
fsav32.exe
fsaa.exe
FRW.EXE
FP-WIN.EXE
F-PROT95.EXE
F-PROT.EXE
fnrb32.exe
fih32.exe
fch32.exe
fameh32.exe
F-AGNT95.EXE
EXPERT.EXE
EVPN.EXE
EVPN.exe
ETRUSTCIPE.EXE
ETRUSTCIPE.exe
EFPEADM.EXE
EFPEADM.exe
DVP95_0.EXE
DVP95.EXE
DOORS.EXE
DEFWATCH.EXE
defscangui.exe
defalert.exe
CPDClnt.exe
CPDCLNT.EXE
cpd.exe
CONNECTIONMONITOR.EXE
CMGRDIAN.EXE
cleaner3.EXE
cleaner.EXE
CLAW95CF.EXE
Claw95cf.exe
CLAW95.EXE
Claw95.exe
cfgWiz.exe
CDP.EXE
BlackICE.exe
BLACKD.EXE
blackd.exe
AVXW.EXE
AVXQUAR.EXE.EXE
AVXQUAR.EXE
AVXMONITORNT.EXE
AVXMONITOR9X.EXE
AVWINNT.EXE
AVSYNMGR.exe
Avsched32.exe
AVPM.EXE
avpm.exe
AVP32.EXE
AVP.EXE
avkwctl9.exe
avkservice.exe
AvkServ.exe
avkpop.exe
AVGW.EXE
AVGSERV9.EXE
AVGSERV.EXE
Avgctrl.exe
AVGCTRL.EXE
AVGCC32.EXE
AVCONSOL.EXE
AutoTrace.exe
AUTODOWN.EXE
AutoDown.exe
AUTODOWN.exe
ATWATCH.EXE
ATUPDATER.EXE
ATCON.EXE
apvxdwin.exe
APVXDWIN.EXE
ANTS.EXE
ANTI-TROJAN.EXE
AMON9X.EXE
ALOGSERV.EXE
alogserv.exe
ALERTSVC.EXE
agentw.exe
ADVXDWIN.EXE
ACKWIN32.EXE
AckWin32.exe
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ICSUPP95.EXE
f-stopw.exe
CTRL.EXE
SWEEPSRV.SYS
vissza...

Annak érdekében, hogy egy helyi hálózaton a vírusok, férgek könnyebben terjedhessenek, képesek arra, hogy fájlok, illetve könyvtárakat megosszanak a hálózaton, esetleg a megtámadott gépen FTP szerver szolgáltatást indítanak. Természetesen ezt annak az érdekében teszik, hogy a másik számítógép elött ülő kiváncsi felhasználó a megosztáson keresztül a saját gépét is megfertőzhesse.

A Win32/Yaha.AD féreg megosztott könyvtárként az alábbi mappákat használja:

WINXP
WINME
WIN
WINNT
WIN95
WIN98
WINDOWS

A Win32/Yaha.AD féreg a(z) REGE32.EXE fájlt osztja meg P2P megosztásban.

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Yaha.AD féreg a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Yaha.AD féreg a(z) .*ht* kiterjesztésű fájlokban keres e-mail címeket.

A Win32/Yaha.AD féreg a(z) *HoTMaiL*.*ht* fájlban keres e-mail címeket.

A Win32/Yaha.AD féreg az alábbi regisztrációs bejegyzéseket használja az email címek kereséséhez:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\MSN Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Microsoft\MessengerService\ListCache\.NET Messenger Service]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles\%s\IMVironments\Recent]
[HKEY_LOCAL_MACHINE\Software\Yahoo\Pager\profiles]
[HKEY_LOCAL_MACHINE\Software\Mirabilis\ICQ\DefaultPrefs]

Az üzenetek elküldéséhez a férgek, vírusok a megpróbálják megkeresni a továbbításhoz szükséges SMTP szervereket.

A Win32/Yaha.AD féreg az alábbi SMTP szervereken keresztül próbálja meg elküldeni az üzenetet:

12.127.17.71
rly-xa04.mx.aol.com
mx.aol.com
y-xa04.mx.aol.com
mx4.mail.yahoo.com

A féreg a [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] regisztrációs adatbázis bejegyzést használja SMTP szerver kereséséhez.

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó	A levél feladóját több módszerrel állíthatja össze. A lehetőségek az alábbiak: Összegyüjtheti a levél feladóját a megtámadott számítógépről, illetve korábban megtámadott számítógépekről gyűjtötte össze. Kiválaszthatja az e-mail feladóját az alábbi listából: Love Inc. Jericho Romantic Screensavers Trend Micro Norton Antivirus teljes lista... Love Inc. Jericho Romantic Screensavers Trend Micro Norton Antivirus McAfee Inc. Cupid Jonathan Susan Noopman The Rock britneyspears.org zporNstarS Lovers Screensavers Valentine Screensavers American Beauty John Vandervochich Ross Anderson Jasmine Stevens Ralph Jones Clark Steel Kyo Kusanagi Iori Yagami Terry Bogard Omega Rugal KOF Online Cathy Kindergarten Jaucques Antonio Barkinstein Romeo & Juliet Screensavers of Love Raveena Pusanova Zdenka Podkapova Jenna Jameson Club Jenna Veronica Anderson Benting Paul Owen admin@hackers.com admin@viruswriters.com admin@hackersclub.com Nicolas Schwarzeneggar Keanu Stevenson Nomadic Screensavers XXX Screensavers Hardcore Screensavers Playboy Inc. Plus 2 Plus 6 Real Inc. Sexy Screensavers Super Soccer Rocking Stone me2K SQL Library Codeproject Klein Anderson loverscreensavers@love.com caijob@online.sh.cn romanticscreensavers@love.com av_patch@trendmicro.com av_patch@norton.com av_patch@mcafee.com cupid@freescreensavers.com yjworks@online.sh.cn samsun@online.sh.cn ericpan@online.com.pk therock@wwe.com newsletters@britneyspears.org admin@zpornstars.com screensavers@lovers.com valentinescreensavers@t2k.com luoairong@21cn.com hamada@seikosangyo.com lubing@7135.com zhouyuye@citiz.net admin@kofonline2.com cathy@21cn.com super@21cn.com DNA_seraph@163.com love@lovescreensavers.com ravs@go2pussy.com zdenka@zpornstars.com jenna@jennajameson.com admin@clubjenna.com services@tcsonline2.com btq@2632.com paul@kqscore2.com admin@hackers2.com admin@viruswriters.com admin@hackersclub2.com nics@noma.com kkn@k2k.comscreensavers@nomadic.com free@xxxscreensavers.com free@hardcorescreensavers.com sales@playboy.com plus@real.com sales@real.com free@sexyscreensavers.com marketing@suppersoccer.com stone@esterplaza.com me@me2K.com free@sql.library.com admin@codeproject2.com kl@aminoprojects.com Lovers Inc St. Valentine SEGA Corp. Playstation HACKTEQ.NET Infocom Technologies Disney Int. SuSoft Technologies Pvt. Ltd. GC Softwares Ltd. loverscr@lovers.com valscr@freescreensavers.com marketing@sega.com marketing@playstation.com sells@haqteq.net info@infotech.com marketing44@disney.biz sales@susoft.net sales@gcnetwork.com Cindy Linda Salma t sales cindy@salmaescorts.com linda@salmaescorts.com salma@salmaescorts.com vissza...
Címzett	A levél lehetséges címzettjei: gov.pk com org net.in ab.ca teljes lista... gov.pk com org net.in ab.ca now biz nic.in edu ac.in co.in zd.net 157alntking.netscape.net 2000charge.com 3011aun.net 325antkinga.netscape.net 4105wypkpiiy.net AOL.COM Dr.Clifford.mindspring.com EARTHLINK.NET IndiaResult.com Mailer.com Netscape.com abcnews.com ac-grenoble.fr acmnet.net aol.com apple.com arcamax.com arcor-ip.net bank.com bo.co boll.net.in bom4.vsnl.net.in btinternet.com calcna.ab.ca canada.com canoemail.com cclistserver.com chickmail.com clustersystemservices.net cnet.com cnlink.net cnn.com codeproject.com comstar.com cs.com ctimail3.com dailynooz.com dealinside.597 deccanherald.co.in dedicatedhostportal.net disney.com dr.rsc03.com duars.com earthlink.net echo-on.net ectu.net edenstudios.net education.now educationinfoindia.com elektroda.pl evemkkjsdfvrgfggr.com excite.com fabmall.com fhbxmgevxe.com fjxpbvlh.net freemail.it gjjjupzjnefv.com google.ca google.com gte.net habruc.biz hindustantimes.com hotmail.co.il hotmail.com ietf.org iisc.ernet.in iisho.net imasy.or.jp inacho.net iname.com informit.com ioannides95298.com isplo.com itsyou.com jubiipost.dk juno.com kadarugxrq.com kpjmkydugamr.net ksxaqm.ca kunku.net lelep.com libero.it lycos.com lycos.ne.jp mail.hotmail.com mail.pt mailclub.net mailmij.nl make-it-yours-n9616.com mediaone.net member.aim.com microhoststations.net microsoft.com mindspring.com mit.edu mpmlbx03.mypoints.com msn.com mt.net.mk nelsa.net netscape.com newman.oscar.aol.com news.com odyssey.com.au on.net orient.net.ru paradisecity.com.br pemmy.com permeo.com pkjtuydwur.com planet.nl qymjtpeofqq.com redhotnewsletter.com rediff.com research.att.com riskymail4free.com rrdb.org scitpune.com securitytracker.com seznam.cz smtquass.com spadafara252e.com splokis.com sprint.com sprintmail.com stealth.sorbs.net syl.dl.nec.com taiyo.co.jp team.indiainfo.com techserverfacility.net telekom.ru theproxyconnection.com timesgroup.com tqqhtquehu.net tripod.com turk.net universityofmadras-ice.ac.in untd.com vip.gr virgilio.it virgin.net viviss.net webcrawler.com webtv.com whtrncos.org wt.net xcite.com yahoo-inc.com yahoo.co.in yahoo.com yyvhogyjbyufqwsgp.com zd.net klc.org.pk ummah.org.pk lahore.gov.pk jamaat.org arinath_r_v@hotmail.com hotmail.com yahoo.com yahoo.co msn.com passport.comrediffmail.com indiatimes.com programmer.net indya.com mad-scientist.com achayans.com sancharnet.in vsnl.com vsnl.net eth.net yahoogroups.comzzn.com vissza...
Tárgy	A levél lehetséges tárgyai: Sample Screensavers Project Free Screensavers 4 U Patch for Klez.H Patch for Elkern.gen teljes lista... Sample Screensavers Project Free Screensavers 4 U Patch for Klez.H Patch for Elkern.gen Lovers Corner Things to note Wanna be friends ? Freak Out WWE Screensavers Free Screensavers Free XXX Free Screenavers of Love Who is your Valentine Are you beautiful Need money ?? Wanna be friends ?? Free Demo Game Demo KOF 2002 Play KOF 2002 4 Free Wanna Rumble ?? Wanna Brawl ?? The King of KOF Sample KOF 2002 Wanna be friends ?? Wanna Hack ?? Feel the fragrance of Love Free Screensavers Free rAVs Screensavers XXX Screensavers Jenna 4 U Screensavers from Club Jenna Wanna be my sweetheart ?? Whats up World Tour One Hacker's Love One Virus Writer's Story Visit us Wanna be a HE-MAN We want peace Free Screensavers 4 U XXX Screensavers 4 U Hardcore Screensavers 4 U Sample Playboy Check it out Sexy Screensavers 4 U Are you a Soccer Fan ? Wanna be like a stone ? I Love You.. Learn SQL 4 Free Free Win32 API source Are you the BEST Hello Check this shit hey check it yaar Who is ur Best Friend make ur friend happy True Love Looking for Friendship Let's Dance and forget pains love speaks from the heart Say 'I Like You' To ur friend Need a friend? war Againest Loneliness How sweet this Screen saver love speaks from the heart Shake it baby The world of Friendship Check ur friends Circle Wowwwwwwwwwww check it Are you looking for Love Learn How To Love Find a good friend to ur friends to ur lovers U realy Want this The Hotmail Hack You are so sweet I Love You One Hacker's Love I am in Love Are you in Love Lovers Screensaver Valentine Screensavers Matrix - The Game KOF - The Game Ultimate Hackers tool unleashed.. OE 6 Patch Free Disney Screensavers SuSoft SCR Maker GC Chat Networks Yahoo Matchmakers Hi.. Things to note... Alert My Feelings 4 U I am in Love.. why u send me this... wanna exchange.. check this.. 4 U only.. Private Documents.... Hi dear... checked the attached document.. Call Girls Escort services/ Call Girls sexy call girls Its me .. My favourite links ... sexy calls girls vissza...
Melléklet	A féreg által elküldött e-mail lehetséges mellékletei: Love.scr Project.exe Romantic.scr FixKlez.com FixElkern.com teljes lista... Love.scr Project.exe Romantic.scr FixKlez.com FixElkern.com Cupid.scr Notes.exe MyPic.scr FreakOut.exe THEROCK.scr Britney_Sample.scr zXXX_BROWSER.exe Love.scr Valentines_Day.scr Beautifull.scr Ways_To_Earn_Money.exe MyProfile.scr My_Sexy_Pic.scr KOF.exe King_of_Figthers.exe KOF2002.exe KOF_The_Game.exe KOF_Demo.exe KOF_Sample.exe KOF_Fighting.exe MyPic.scr Hacker.scr Romeo_Juliet.scr Free_Love_Screensavers.scr Ravs.scr zDenka.scr Jenna_Jemson.scr Sexy_Jenna.scr Sweetheart.scr up_life.scr World_Tour.scr Hacker_The_LoveStory.scr VXer_The_LoveStory.scr Services.scr Body_Building.scr Peace.scr Screensavers.scr xxx4Free.scr Hardcore4Free.scr Playboy.scr Plus2.scr Plus6.scr Real.scr Sex.scrSoccer.scr Stone.scr I_Love_You.scr SQL_4_Free.scr Codeproject.scr The_Best.scr funny.scr friendship_funny.scr colour_of_life.scr life.scr Best_Friend.scr Friend_Happy.scr True_Love.scr GC_Messenger.exe dance.scr love.scr I_Like_You.scr Friend_Finder.exe Be_Happy.scr Sweet.scr Love.scr shake.scr world_of_friendship.scr friendship.scr funny.scr love.scr hotmail_hack.exe LoveScr.zip ValentineScr.zip Setup.zip Demo.zip HackerTool.zip OE6.zip disney.zip make_scr.zip GC_msgr.zip Setup.zip LoveScr.scr Valentine.scr Setup.exe Demo.exe Setup.exe oe6patch.exe setup.exe vissza...

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A Win32/Yaha.AD féreg az alábbi webcímek ellen indít támadást:

klc.org.pk
ummah.org.uk
pak.gov.pk
lahore.gov.pk
jamaat.org

A támadást "1" másodpercenként ismét végrehajtja.

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

A Win32/Yaha.AD féreg az alábbi portokon nyit hátsóajtót:

A Win32/Yaha.AD féreg véletlenszerűen kiválasztott portokon nyit hátsóajtót.

A(z) keylogs20003@yahoo.com e-mail címre értesítést küld, ha sikerült megnyitnia a hátsóajtót. Erre a címre elküldi a számítógépről összegyűjtött információkat is.

A féreg jelszavakat gyűjt a számítógépről.

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel	működése során
tevékenység	tönkreteszi azon fájlokat, melyek kiterjesztése az alábbi: C:\WINDOWS\INETPUB\WWWROOT\.htm C:\WINDOWS\INETPUB\WWWROOT\.html C:\WINDOWS\INETPUB\WWWROOT\.htm C:\WINDOWS\INETPUB\WWWROOT\.html egyes szövegrészeket lecserél erre a szövegre: <BR><BR><BR><CENTER><B><U> Ha..Ha..Haaa...</CENTER></U></B> üzenetablakot jelenít meg

feltétel	az aktuális nemzetközi időzóna beállítása: GMT+5
tevékenység	megformázza a(z) C: Z: meghajtót

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A Win32/Yaha.AD féreg programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

dEviL inCArnATe
http://www.coderz.net
jb.net
just a test
ns - and we will fuck u all