Tápiómenti levelezőlista archívum
  2025.04.19
 LEO archívum 
 MCSE 
 levelezőlisták 
Dátum: 2003-01-02 14:31:27
Feladó: Hevesi Zoltán
Tárgy: Fw:_[virusriado]_Új_Yaha_változat_jelent_meg:_Yaha
----- Original Message -----
From:
To:
Sent: Thursday, January 02, 2003 3:20 PM
Subject: [virusriado] Új Yaha változat jelent meg: Yaha.M


> Vírus Riadó hírlevél - 2003. január 02., csütörtök
>
> Tisztelt Hölgyem/Uram!
>
> Ön VÍRUS RIADÓ hírlevelünket olvassa.
>
> Téma:  Új Yaha változat jelent meg: Yaha.M
> [Riasztási fokozata:  1-es (közepes).]
>
> ------------------------------------------------------------------
>
> 2002. december 31-én a Yaha/Lentin vírus családból újabb változatot
> észleltek: Yaha.M
>
> Névváltozatok: Yaha.K, W32/Lentin.H@mm, I-Worm.Lentin.h, Yaha.K!e2a2
>
>
> Ez a variáns úgyanúgy levélben terjed, mint társai, vagyis hamis
> feladócímmel ellátott email-ben véletlenszerűen választja ki a küldött
levél
> tárgyát, szövegét és a csatolt állomány nevét.
>
> Fertőzés:
>
> Ha a fertőzött fájlt lefuttatják, elindul a fertőzési rutin. Ekkor a féreg
> telepíti magát a Windows system könyvtárba "tcpsvs32.exe",
> "nav32_loader.exe" és "WinServices.exe" neveken és létrehoz olyan registry
> kulcsokat, amellyel saját magát minden rendszerindításkor lefuttatja:
>
> A féreg emellett módosítja az .EXE állományok futtatására vonatkozó
> beállításokat is, keresztül láncolva önmagán. Emiatt ha csak simán
letörlik
> a fertőzött "nav32_loader.exe"-t, akkor semmilyen .EXE nem fog futni a
> továbbiakban.
>
> Ezenkívül még számos módon igyekszik biztosítani a saját működését,
> frissítve a saját registry bejegyzéseit, és folyamatosan visszamásolva a
> fertőzéshez szükséges állományait.
> A kártevő vírus ellenes és tűzfalprogramokat keres a gépen, és megpróbálja
> azok futását leállítani.
>
> A féreg e-mail címek után kutat a Windows Address Book-ban, a NET és MSN
> Messenger cache könyváraiban, valamint a Yahoo Messenger profile
> könyvtáraiban. Majd elküldi magát az összes talált e-mail címre,
> véletlenszerű tárgyat, levélszöveget és melléklet nevet választva.
>
> Meg kell jegyezni, hogy néhány esetben nem is látszik a levélszöveg. A
féreg
> meghamisítja a küldő nevét és e-mail címét, behelyettesítve azokat a féreg
> testében elkódolt adatokkal. Ezek közül számos olyan is van, amelyik
létező,
> igazi cégek és magánemberek e-mail címei.
>
> A féreg önhatalmúlag módosíthatja az Internet Explorer beállított
> kezdőlapját is.
>
> Ezenfelül a féreg kódja megvalósít egy DoS (Denial of Service) típusú
> hálózati támadást is, az infopak.gov.pk webserver ellen.
>
> Mentesítés:
>
> A féreg mentesítéséhez nem elég az említett 3 állományt letörölni, hanem a
> regisztrációs adatbázisban is szükséges a bejegyzések módosítása, ehhez az
> alábbi segédeszköz használható:
>
> ftp://ftp.europe.f-secure.com/anti-virus/tools/yaha_fix.reg
>
> Részletes vírusleírás a következő linken található:
>
> http://www.virushirado.hu/virh-virusleir.php?oid=268435517
>
> -------------------------------------------------------------------
>
> VÍRUS RIADÓ hírlevelet abban az esetben küldünk, amennyiben egy veszélyes
> fertőzés indult el, vagy egy vírus széles körű elterjedése várható.
>
> Üdvözlettel:
> Vírus Híradó Szerkesztőség
> 2F 2000 Kft.
>
> Cím: 1016 Budapest, Hegyalja út 5.
> E-mail: mailto:szerkesztoseg@virushirado.hu
> www.virushirado.hu
>
> A Vírus Híradó és a Vírus Riadó hírlevél listáinkra való fel- és
> leiratkozást ezen az oldalon találja:
> http://www.virushirado.hu/virh-hirlevel.php
>
> Figyelem!
> Ne felejtse, hogy az általunk küldött hírlevelek sosem tartalmaznak
csatolt
> file-okat, és mindig Text/Plain (egyszerű szöveges) formában küldjük ki.
> Amennyiben mégis találkozna másféle hírlevéllel, értesítsen minket az
> info@virushirado.hu címen.
>
>
>
>
>
>
Vissza
  
Index | Aktuális hónap (2025-04)