W32/Yaha-Y

ワームの除去方法をご覧ください。

W32/Yaha-Y の駆除方法をご覧ください。

W32/Yaha-Yは、ネットワーク共有フォルダに自身をコピーしたり、ローカルコンピュータのファイルやレジストリ値にあるアドレスに自身を送信して感染を広げるワームです。

メールの件名、本文、添付ファイル名は内部リストから任意に選択されます。メールの例：

添付ファイル名： Fixblastz.com
件名： Fix for the latest W32/Blaster.Z
本文： Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.

添付ファイル名： Fixblastz.zip
件名： Fix for the New Worm Threat
本文： Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.

添付ファイル名： FixBlast.com 件名： Fix for W32.Blaster/Welcha 本文： Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request.

添付ファイル名： wicked.zip 件名： Wicked Screen Saver 本文： Hi, This is the most wicked screen saver i have ever seen.Enjoy!!!

添付ファイル名： MS-Q3526.com
件名： Critical Updates
本文： Dear customer, Thanks for using Microsoft products. Recent viruses have prompted microsoft to issue patches to all its customers worldwide.

添付ファイル名： thankyou.zip 件名： Thank you 本文： Please see the attached file for details.

添付ファイル名： your_documents.zip 件名： Your Document 本文： See the attached file for your documents.

添付ファイル名： FixBlast.zip 件名： Hi check your computer with this!!! 本文： Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster.
please use this tool and disinfect your machine.

添付ファイル名： details.zip
件名： Details
本文： Hi, See the attached file for details.

添付ファイル名： FixBlast.zip
件名： I got an infected email from you
本文： Hi, Your previous mail to me is infected with Blaster. 添付ファイル名： porncrack.zip
件名： Crack for Porn sites
本文： Hi, This is a new crack for porn site. Please download and check program. Bye. 添付ファイル名： application.zip
件名： Your application
本文： Please see the attached file for application details. メールを開いた場合やプレビュー表示した場合に添付ファイルが自動的に実行されるよう、Microsoft OutlookとOutlook Expressにある既存の脆弱性を悪用しようとする場合があります。

初めて実行されるとワームは、自身をEXE32.EXEとMSMGR32.EXE としてWindows Systemフォルダにコピーし、隠し属性を設定し、起動時に自身を実行するよう以下のレジストリ値を作成します：

HKCU￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥MsManager
= <SYSTEM>￥MSMGR32.EXE

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥Run￥MsManager
= <SYSTEM>￥MSMGR32.EXE

HKLM￥Software￥Microsoft￥Windows￥CurrentVersion￥RunServices￥ MsManager= <SYSTEM>￥MSMGR32.EXE

ワームは<SYSTEM>￥EXE32.EXEを以下のレジストリ値に追加し、拡張子がEXE、COM、BAT、SCRのファイルが実行されたり、開かれた場合、EXE32.EXEが実行されるようにします：

HKCU￥batfile￥shell￥open￥command
HKCU￥comfile￥shell￥open￥command HKCU￥exefile￥shell￥open￥command
HKCU￥scrfile￥shell￥open￥command

ファイルHostsとLmhostsがWindowsフォルダにドロップされ、MSS32.DLLがSystemフォルダにドロップされます。

W32/Yaha-Yはローカルドライブとネットワークドライブのスタートアップフォルダに自身をMSMGR32.EXEとしてコピーします：

￥Documents and Settings￥All Users￥Start Menu￥Programs￥Startup ￥Documents and Settings￥<default user>￥Start Menu￥Programs￥Startup

ワームはネットワーク共有フォルダのWindowsフォルダに自身をEXE32.EXEとしてコピーし、<WINDOWS>￥Win.iniの[Windows] セクションに "run=EXE32.EXE" という行を追加して、EXE32.EXEを起動時に実行します。

ワームがアクティブな場合、常時、特定のウイルス対策プロセスとセキュリティ関連プロセスを停止しようとし、上記のレジストリ値が変更されたり、削除された場合、それを元に戻します。

ワームは以下のレジストリ値を設定してRegedit.exeを無効にします：

HKCU￥Software￥Microsoft￥Windows￥CurrentVersion￥Policies￥System￥
DisableRegistryTools = 1