病毒名称:蠕虫病毒Win32.YahLover.BV
其它名称:W32/Autorun-BC (Sophos), Worm:Win32/Yalove.A (MS OneCare), WORM_YALOVE.C (Trend), W32.Yalove.F (Symantec)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32/YahLover.BV是一种通过移动驱动器和即时消息传播的蠕虫。蠕虫还可能删除系统上的进程,同时使任务管理器和注册标编辑器失效。
感染方式:
运行时,Win32/YahLover.BV复制到%Windows%system.exe 和 %Startup%Explorer.exe。
随后蠕虫修改以下注册表,为了在每次系统启动时运行病毒:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell = "Explorer.exe, System"
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit = "C:WINDOWSsystem32userinit.exe, System"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
传播方式:
通过移动驱动器和共享驱动器传播
Win32/YahLover.BV通过移动驱动器和共享驱动器进行传播,病毒将"auto.exe"复制到被感染系统上的每个可利用的驱动器。
Yahlover.BV还会在驱动器上生成"autorun.inf"文件,在访问驱动器时会启动病毒文件。
通过即时消息传播
Win32/YahLover.BV通过Yahoo! Messenger进行传播。蠕虫发送信息到用户的联系人,其中包含以下IP地址:
206.221.179.205
216.246.30.66
72.232.108.82
72.232.141.84
72.232.208.150
危害:
修改注册表
Win32/YahLover.BV修改以下注册表键值,如果以下可运行程序被启动,蠕虫就会替代它们运行:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options<filename>Debugger = "System.exe"
bdagent.exe
bdss.exe
Bkav2006.exe
CCAPP.exe
CCenter.exe
cmd.exe
EGHOST.exe
far.exe
FireTray.exe
icesword.exe
IEProt.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp.exe
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
livesrv.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp.exe
UpdaterUI.exe
VPTray.exe
vsserv.exe
worm2007.exe
xcommsvr.exe
病毒还会修改以下键值:
使注册表编辑器失效:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemDisableRegistryTools = 0x00000001
使任务管理器失效:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystemDisableTaskMgr = 0x00000001
使开始菜单中的“运行”命令失效:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun = 0x00000001
改变Internet Explorer 主页:
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page = "<link>"
HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomepage = 0x00000001
使Internet Explorer 阻止弹出失效:
HKCUSoftwareMicrosoftInternet ExplorerNew WindowsPopupMgr = 0x00000000
改变Yahoo! Messenger 设置:
HKCUSoftwareYahoopagerViewYMSGR_Launchcastcontent url = "<link>"
HKCUSoftwareYahoopagerViewYMSGR_buzzcontent url = "<link>"
隐藏文件和文件扩展名,不显示系统文件:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden = 0x00000002
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt = 0x00000001
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden = 0x00000000
使文件夹选项失效:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerNoFolderOptions = 0x00000001
终止进程
Yahlover 尝试终止包含以下字符串的进程,很多进程与反病毒软件相关:
BITDEFENDER
BKAV
ccEvtMgr
ccProxy
ccSetMgr
D32
Duba
FireSvc
GOOGLE.COM
IceSword
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
msctls_statusbar32
MskService
navapsvc
NOD32
NPFMntor
RsCCenter
RsRavMon
Schedule
sharedaccess
SNDSrvc
SPBBCSvc
Symantec AntiVirus
Symantec Core LC
System Safety Monitor
VirusScan
Wrapped gift Killer
wscsvc
下载任意文件
Win32/Yahlover.BV 尝试连接不同的IP地址下载文件,包含以下IP地址:
206.221.179.205
216.246.30.66
72.232.108.82
72.232.141.84
72.232.208.150
清除:
KILL防病毒软件最新版本可检测/清除此病毒。
