W32/Yaha-Y

Veuillez suivre les instructions de suppression des vers.

W32/Yaha-Y est un ver qui se propage en se copiant sur les partages réseau et en s'envoyant par e-mail aux adresses trouvées dans les fichiers et dans les entrées du registre de l'ordinateur local.

L'objet, le corps du message et le nom de fichier de la pièce jointe sont aléatoirement sélectionnés dans des listes internes. Voici des exemples d'e-mails :

Pièce jointe : Fixblastz.com Objet : Fix for the latest W32/Blaster.Z Corps du message : Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.

Pièce jointe : Fixblastz.zip Objet : Fix for the New Worm Threat Corps du message : Dear customer, We are enclosing Fix for W32.Blaster.Z as per your request.

Pièce jointe : FixBlast.com Objet : Fix for W32.Blaster/Welcha Corps du message : Dear customer, We are enclosing Fix for both Welcha and Blaster worms as per your request.

Pièce jointe : wicked.zip Objet : Wicked Screen Saver Corps du message : Hi, This is the most wicked screen saver i have ever seen.Enjoy!!!

Pièce jointe : MS-Q3526.com Objet : Critical Updates Corps du message : Dear customer, Thanks for using Microsoft products. Recent viruses have prompted microsoft to issue patches to all its customers worldwide.

Pièce jointe : thankyou.zip Objet : Thank you Corps du message : Please see the attached file for details.

Pièce jointe : your_documents.zip Objet : Your Document Corps du message : See the attached file for your documents.

Pièce jointe : FixBlast.zip Objet : Hi check your computer with this!!! Corps du message : Hi, I am cutting and pasting the message i got from symantec antivirus I think the last mail you sent me was infected with W32.Blaster. please use this tool and disinfect your machine.

Pièce jointe : details.zip Objet : Details Corps du message : Hi, See the attached file for details.

Pièce jointe : FixBlast.zip Objet : I got an infected email from you Corps du message : Hi, Your previous mail to me is infected with Blaster.

Pièce jointe : porncrack.zip Objet : Crack for Porn sites Corps du message : Hi, This is a new crack for porn site. Please download and check program. Bye.

Pièce jointe : application.zip Objet : Your application Corps du message : Please see the attached file for application details.

Le ver peut tenter d'exploiter une faille connue affectant Microsoft Outlook et Outlook Express, de manière à ce que la pièce jointe soit exécutée automatiquement à l'ouverture de l'e-mail ou lorsqu'il est sélectionné pour être prévisualisé.

Lorsqu'il est exécuté pour la première fois, le ver se copie dans le dossier système Windows sous les noms EXE32.EXE et MSMGR32.EXE avec les attributs cachés et, pour s'exécuter au démarrage, crée dans le registre les entrées suivantes :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MsManager = <SYSTEM>\MSMGR32.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MsManager = <SYSTEM>\MSMGR32.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\MsManager = <SYSTEM>\MSMGR32.EXE

De manière à ce que le fichier EXE32.EXE soit exécuté chaque fois qu'un fichier portant l'extension EXE, COM, BAT ou SCR est exécuté ou ouvert, le ver ajoute par ailleurs <SYSTEM>\EXE32.EXE au début des entrées suivantes du registre :

HKCU\batfile\shell\open\command HKCU\comfile\shell\open\command HKCU\exefile\shell\open\command HKCU\scrfile\shell\open\command

Les fichiers Hosts et Lmhosts sont injectés dans le dossier Windows et le fichier MSS32.DLL est injecté, lui, dans le dossier System.

W32/Yaha-Y se copie sous le nom MSMGR32.EXE dans les dossiers Startup des lecteurs locaux et réseau, par exemple :

\Documents and Settings\All Users\Start Menu\Programs\Startup \Documents and Settings\<default user>\Start Menu\Programs\Startup

Pour exécuter EXE32.EXE au démarrage, le ver se copie aussi dans le dossier Windows des partages réseau sous le nom EXE32.EXE et ajoute une nouvelle ligne "run=EXE32.EXE" dans la section [Windows] de <WINDOWS>\Win.ini.

Tout en étant actif, le ver tente en permanence de mettre un terme à des processus antivirus et de sécurité sélectionnés et réinitialise, si elles sont changées ou modifiées, les entrées du registre mentionnées ci-dessus.

Enfin, le ver désactive Regedit.exe en paramétrant l'entrée du registre suivante :

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableRegistryTools = 1