W32/Yaha-X

ワームの除去方法をご覧ください。

W32/Yaha-X の駆除方法をご覧ください。

W32/Yaha-Xは、（Windowsアドレス帳など）感染コンピュータのさまざまな場所より入手した宛先にSMTP経由で自身を送信したり、ネットワーク共有フォルダに自身をコピーしたり、感染コンピュータに接続している他の固定ドライブに自身をコピーするワームです。 ワームは自身をCMDE32.EXEとMEXPLORE.EXEとしてWindows systemフォルダにコピーし、システム起動時に自身を実行するため、以下のレジストリ値を追加します： HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥
MS Explorer = <Windows system>￥MEXPLORE.EXE

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥RunServices￥
MS Explorer = <Windows system>￥MEXPLORE.EXE

HKCU￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥
MS Explorer = <Windows system>￥MSEXPLORE.EXE ワームはまたシステム再起動時に自身を実行するためWIN.INIを変更します。 W32/Yaha-Xは、全てのEXE、SCR、PIF、COMおよびBATファイルファイルより前に実行されるよう、以下のレジストリ値にある値を変更します。 HKCR￥exefile￥shell￥open￥command
HKCR￥scrfile￥Shell￥open￥command
HKCR￥piffile￥shell￥open￥command
HKCR￥batfile￥shell￥open￥command
HKCR￥comfile￥shell￥open￥command W32/Yaha-Xは、HOSTS と LMHOSTS いうファイルをWindowsフォルダにドロップします。ファイルには、IPアドレス127.0.0.1の後に続いて以下のURLがあります： www.sophos.com
www.symantec.com
www.microsoft.com
www.trendmicro.com
www.avp.ch
www.mcafee.com
www.pandasoftware.com
www3.ca.com
www.ca.com W32/Yaha-Xは、一部のバージョンのMicrosoft Internet ExplorerとOutlook Expressで、メールを表示した際に添付ファイルを自動的に実行することを可能にするIFRAME脆弱性を悪用しようとします。 W32/Yaha-Xはシステム再起動時に自身が実行されるよう、WIN.INIを変更しようとする場合もあります。 W32/Yaha-Xはまたキー操作をログする機能を持つプラグインをドロップする場合もあります。ログしたキー操作は、後で外部アドレスに送信される場合もあります。 詳細は、W32/Yaha-Tをご覧ください。