蠕蟲病毒Win32.YahLover.BV

該病毒是一種通過移動驅動器和即時訊息傳播的蠕蟲。蠕蟲還可能刪除系統上的進程,同時使任務管理器和註冊標編輯器失效。

基本介紹

  • 中文名:蠕蟲病毒Win32.YahLover.BV
  • 外文名:W32/Autorun-BC (Sophos), Worm:Win32/Yalove.A (MS OneCare), WORM_YALOVE.C (Trend), W32.Yalove.F (Symantec)
  • 病毒屬性:蠕蟲病毒 
  • 危害性:中等危害
  • 詳細介紹:詳見正文
病毒名稱,其它名稱,病毒屬性,危害性,流行程度,具體介紹,感染方式,傳播方式,危害,病毒會修改以下鍵值,清除,

病毒名稱

蠕蟲病毒Win32.YahLover.BV

其它名稱

W32/Autorun-BC (Sophos), Worm:Win32/Yalove.A (MS OneCare), WORM_YALOVE.C (Trend), W32.Yalove.F (Symantec)

病毒屬性

蠕蟲病毒

危害性

中等危害

流行程度

具體介紹

感染方式

運行時,Win32/YahLover.BV複製到%Windows%\system.exe 和 %Startup%\Explorer.exe。
隨後蠕蟲修改以下註冊表,為了在每次系統啟動時運行病毒:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe, System"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\WINDOWS\system32\userinit.exe, System"
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

傳播方式

通過移動驅動器和共享驅動器傳播
Win32/YahLover.BV通過移動驅動器和共享驅動器進行傳播,病毒將"auto.exe"複製到被感染系統上的每個可利用的驅動器。
Yahlover.BV還會在驅動器上生成"autorun.inf"檔案,在訪問驅動器時會啟動病毒檔案。
通過即時訊息傳播
Win32/YahLover.BV通過Yahoo! Messenger進行傳播。蠕蟲傳送信息到用戶的聯繫人,其中包含以下IP位址:
206.221.179.205
216.246.30.66
72.232.108.82
72.232.141.84
72.232.208.150

危害

修改註冊表
Win32/YahLover.BV修改以下註冊表鍵值,如果以下可運行程式被啟動,蠕蟲就會替代它們運行:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\<filename>\Debugger = "System.exe"
Bkav2006.exe
CCAPP.exe
CCenter.exe
cmd.exe
EGHOST.exe
far.exe
FireTray.exe
icesword.exe
IEProt.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp.exe
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp.exe
UpdaterUI.exe
VPTray.exe
worm2007.exe

病毒會修改以下鍵值

使註冊表編輯器失效:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools = 0x00000001
使任務管理器失效:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr = 0x00000001
使開始選單中的“運行”命令失效:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun = 0x00000001
改變Internet Explorer 主頁:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = "<link>"
HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\Homepage = 0x00000001
使Internet Explorer 阻止彈出失效:
HKCU\Software\Microsoft\Internet Explorer\New Windows\PopupMgr = 0x00000000
改變Yahoo! Messenger 設定:
HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast\content url = "<link>"
HKCU\Software\Yahoo\pager\View\YMSGR_buzz\content url = "<link>"
隱藏檔案和檔案擴展名,不顯示系統檔案:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0x00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt = 0x00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0x00000000
使資料夾選項失效:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions = 0x00000001
終止進程
Yahlover 嘗試終止包含以下字元串的進程,很多進程與反病毒軟體相關:
BITDEFENDER
BKAV
ccEvtMgr
ccProxy
ccSetMgr
D32
Duba
FireSvc
GOOGLE.COM
IceSword
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
msctls_statusbar32
MskService
navapsvc
NOD32
NPFMntor
RsCCenter
RsRavMon
Schedule
sharedaccess
SNDSrvc
SPBBCSvc
Symantec AntiVirus
Symantec Core LC
System Safety Monitor
VirusScan
Wrapped gift Killer
wscsvc
下載任意檔案
Win32/Yahlover.BV 嘗試連線不同的IP位址下載檔案,包含以下IP位址:
206.221.179.205
216.246.30.66
72.232.108.82
72.232.141.84
72.232.208.150

清除

KILL防病毒軟體最新版本可檢測/清除此病毒。

相關詞條

熱門詞條

聯絡我們