病毒名称：Worm.Yaha20.45568

　　中文名称：生日快乐病毒变种

　　病毒类型：蠕虫病毒

　　危害级别：4

　　传播速度：4

　　病毒简介：该病毒是一个很精巧的多进程蠕虫，与Trojan.YerHS.34304 （“生日快乐”）是同一个印度学生编写的，具有很多相似之处，采用UPX压缩，传播相当迅猛，而且在极短时间内耗尽系统资源，在病毒体中，作者自己命名病毒为：“W32/yAHA 2.00”，并留下了三个EMail：qph@achayans.com，c0bra@linuxmail.org，666@achayans.com，以及几个网址：http://indiansnakes.cjb.net，http://www.indiasnakes.cjb.net

　　病毒行为：

　　(1)复制自己的两个拷贝到系统目录下(win9x系统为windowssystem， winnt系统为winntsystem32)，命名为EXELOADER.EXE、MSTASK32.EXE，并设置为隐藏属性，在系统的安装目录生成大批病毒文件。

　　(2)修改注册表启动项HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 下添加键值MicrosoftServiceManager ="%windowssystem%MStask32.exe"，及在Documents and SettingsAll UsersStart MenuProgramsStartup添加病毒文件（系统启动时执行），修改网页首页。

　　(3)修改注册表，修改HKEY_CLASSES_ROOTExefileshellopencommand的默认键值为%windowssystem%MSTASK32.EXE，使得当用户执行程序时木马程序获得运行机会。

　　(4)往外发送带毒邮件，主题，内容和附件名都极具诱惑性.

　　清除方法：金山毒霸最新的在线升级可以查杀！使用金山毒霸右键查毒可以恢复exe文件关联。

　　附录1（病毒体内信息原文）：

　　=================================================

　　iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00

　　wE aRe tHe gREaT inDIaNs

　　---------------------------

　　thiS iS juST thE begiNNinG..

　　s00000 mUcH t0 c0mE..

　　n0 moRe pAK shiT wiLL

　　be toleRATeD..

　　tiME f0r somE payBACK..

　　thERe iS nothING likE teAM w0rk..

　　iNDiAN snAKeS wiTH hARD

　　p0iSoN..

　　wE wiLL bE BACk....

　　=================================================

　　<> iNDiAn snAKeS <>

　　* c0Bra

　　* R0xx

　　* kiNG c0Bra

　　* snaKeEyEs

　　* dEViL inCARnATe

　　http://indiansnakes.cjb.net [未结束]