病毒名称：Win32.Yaha.C

　　别名：I-Worm.Lentin.D, Win32.Yaha.C.Worm, W32/Yaha.c@MM

　　病毒种类：Win32

　　病毒类型：蠕虫

　　危险级别：中

　　传播速度：高

　　病毒特征：

　　又一例通过电子邮件传播的蠕虫病毒。其邮件主题变化不定，可能为如下短语之一（包括有或没有前缀的）：

　　searching for true Love

　　you care ur friend

　　Who is ur Best Friend

　　make ur friend happy

　　True Love

　　Dont wait for long time

　　Free Screen saver

　　Friendship Screen saver

　　Looking for Friendship

　　Need a friend?

　　Find a good friend

　　Best Friends

　　I am For u

　　Life for enjoyment

　　Nothink to worryy

　　Ur My Best Friend

　　Say ‘I Like You‘ To ur friend

　　Easy Way to revel ur love

　　Wowwwwwwwwwww check it

　　Send This to everybody u like

　　Enjoy Romantic life

　　Let‘s Dance and forget pains

　　war Againest Loneliness

　　How sweet this Screen saver

　　Let‘s Laugh

　　One Way to Love

　　Learn How To Love

　　Are you looking for Love

　　love speaks from the heart

　　Enjoy friendship

　　Shake it baby

　　Shake ur friends

　　One Hackers Love

　　Origin of Friendship

　　The world of lovers

　　The world of Friendship

　　Check ur friends Circle

　　Friendship

　　how are you

　　U r the person?

　　U realy Want this

　　Romantic

　　humour

　　New

　　Wonderfool

　　excite

　　Cool

　　charming

　　Idiot

　　Nice

　　Bullshit

　　One

　　Funny

　　Great

　　LoveGangs

　　Shaking

　　powful

　　Joke

　　Interesting

　　Screensaver

　　Friendship

　　Love

　　relations

　　stuff

　　to ur friends

　　to ur lovers

　　for you

　　to see

　　to check

　　to watch

　　to enjoy

　　to share

　　附件名也是变化不定的，可能为如下之一：

　　screensaver

　　screensaver4u

　　screensaverforu

　　freescreensaver

　　love

　　lovers

　　lovescr

　　loverscreensaver

　　loversgang

　　loveshore

　　love4u

　　enjoylove

　　sharelove

　　shareit

　　checkfriends

　　urfriend

　　friendscircle

　　friendship

　　friends

　　friendscr

　　friends4u

　　friendship4u

　　friendshipbird

　　friendshipforu

　　friendsworld

　　werfriends

　　passion

　　bullshitscr

　　shakeit

　　shakescr

　　shakinglove

　　shakingfriendship

　　passionup

　　rishtha

　　greetings

　　lovegreetings

　　friendsgreetings

　　friendsearch

　　lovefinder

　　truefriends

　　truelovers

　　fucker

　　[iduba_page]loveletter

　　resume

　　biodata

　　dailyreport

　　mountan

　　goldfish

　　weeklyreport

　　report

　　附件程序可能包含如下扩展名：

　　pif

　　bat

　　scr

　　doc

　　mp3

　　xls

　　wav

　　txt

　　jpg

　　gif

　　dat

　　bmp

　　htm

　　mpg

　　mdb

　　zip

　　其中邮件正文是由不同字符串组成的，也是经常变化的，下图是其中一例：

　　

　　以上病毒创建的HTML邮件可能含有利用了IE，Outlook及Outlook Express的 "错误的MIME头"的恶意代码，用户预览即会中毒。

　　此漏洞的详细信息，请看微软链接：

　　http://www.microsoft.com/technet/security/bulletin/ms01-020.asp

　　此病毒会利用默认的SMTP服务器向外发送带毒邮件。其中发送地址从被感染机器的所有文件中搜寻，如Windows地址簿、Messenger联系人或html文件。

　　病毒运行后，会将自身拷贝至C:

　　ecycled? 或D:

　　ecycler?或Windows文件夹下，究竟在哪个文件夹下主要依赖下哪个最先找到。文件名为随机的六个字母组成，后缀为.exe，如igppsh.exe,此文件为一个心型的图标，如下图：

　　

　　此外，它还会修改注册表，无论何时，只要其他任何程序运行，病毒就会自动运行，如：

　　HKCRexefileshellopencommandDefault = "c:

　　ecycledigppsh" %1 %*"?/EM>

　　HKLMSoftwareCLASSESexefileshellopencommandDefault = "c:

　　ecycledigppsh" %1 %*"?/EM>

　　病毒还会以此前创建的病毒副本的文件名创建一个文本文件，如igppsh.txt，该文件内容为:

　　<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

　　W32.YAHA-III

　　Author :H^H,h2h@achayans.com

　　Origin :India,Kerala

　　I like Klez,Sircam,But i hate the bullshit payloads

　　Is i am a good coder?? still i have dout huhh!!!

　　Beware Indian Hackers..Tomarrow is ours!!!

　　 <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>

　　另外，此病毒还会向某一特定地址发送主题为?EM>Beware Indian Hackers!!!!?/P>且不带附件的邮件。

　　此病毒最具破坏性在于它会通过中此如下进程的运行而破坏反病毒程序:

　　ANTIVIR

　　MCAFEE

　　NORTON

　　NVC95

　　FP-WIN

　　IOMON98

　　PCCWIN98

　　F-PROT95

　　F-STOPW

　　PVIEW95

　　NAVWNT

　　NAVRUNR

　　NAVLU32

　　NAVAPSVC

　　NISUM

　　SYMPROXYSVC

　　RESCUE32

　　NISSERV

　　ATRACK

　　IAMAPP

　　LUCOMSERVER

　　L