W32.Yaha.K@mm

　　别名

　　W32/Yaha.k, I-Worm.Lentin.i, Win32/Yaha.K@mm, W32/Yaha-K, Win32.Yaha.K, WORM_YAHA.K

　　内容

　　W32.Yaha.K@mm 是 W32.Yaha.E@mm 蠕虫的变种。蠕虫会终止部份防毒软件和防火墙程序的运作。此外，它会使用自身的SMTP电邮引擎将自已投寄到所有在窗口地址薄，MSN Messenger，.NET Messenger，Yahoo Pager，和任何延伸檔名包含 HT 两个字母的档案内所

　　找到的电邮地址。蠕虫电邮会随机选择电邮主旨、内文和附件名称。详细的电邮特征，请参考 附录 部份。

　　蠕虫会将自已复制成数个副本并储存到窗口系统的资料夹(例如： C:WINDOWSSYSTEM)内 ：

　　NAV32_LOADER.EXE

　　TCPSVS32.EXE

　　WINSERVICES.EXE

　　系统激活索引会被加入以下的登录索引值：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　"WinServices"= C:WINDOWSSYSTEMWinServices.exe

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

　　"WinServices" = C:WINDOWSSYSTEMWinServices.exe

　　执行 EXE 档案的档案索引值亦会从以下的：

　　HKEY_CLASSES_ROOTexefileshellopencommand "(Default)" which is changed from:

　　"%1" %*

　　被转变为：

　　"C:WINDOWSSYSTEMnav32_loader.exe""%1"%*

　　然后，它亦会使用以下档名复制自身到 WindowsSystem 资料夹：

　　Hotmail_hack.exe

　　Friendship.scr

　　World_of_friendship.scr

　　Shake.scr

　　Sweet.scr

　　Be_happy.scr

　　Friend_finder.exe

　　I_like_you.scr

　　Love.scr

　　Dance.scr

　　Gc_messenger.exe

　　True_love.scr

　　Friend_happy.scr

　　Best_friend.scr

　　Life.scr

　　Colour_of_life.scr

　　Friendship_funny.scr

　　Funny.scr

　　破坏力

　　它会将自已投寄到所有在窗口地址薄，MSN Messenger，.NET Messenger，Yahoo Pager，任何延伸檔名包含 HT 两个字母的档案内所找到的电邮地址。它会尝试中止防毒软件和防火墙程序的运作。它首先记录运作中的程序，如果程序的名称符合以下字符串，它就会尝试中止其运作：

　　REGEDIT

　　ACKWIN32

　　F-AGNT95

　　SWEEP95

　　VET95

　　N32SCANW

　　_AVPM

　　LOCKDOWNADVANCED

　　NSPLUGIN

　　NSCHEDNT

　　NRESQ32

　　NPSSVC

　　NOD32

　　_AVPCC

　　_AVP32

　　NORTON

　　NVC95

　　FP-WIN

　　IOMON98

　　PCCWIN98

　　F-PROT95 F-STOPW PVIEW95 NAVWNT [未结束]