W32.Yaha.L@mm

Symantec ha rilasciato un nuovo fix le varianti J, K, L del Worm Yaha! Le nuove varianti di Yaha sono particolarmente insidiose perché in grado di terminare effettivamente i processi locali relativi ad antivirus e firewall. Il virus arriva come attachment dal nome random, principalmente con estensione .scr (ma può essere anche .exe o .com o altro programma eseguibile). Se la data del sistema è il 22 o il 25 marzo, il virus, una volta eseguito, fa apparire il popup “Happy Birthday Dear”. Nel giorno di Giovedì viene modificata la home page predefinita del browser (viene inserito un sito di hacking), la cartella predefinita dei “Documenti” (insieme alle dipendenze) viene modificata negli attributi come “hidden” e viene creato sul desktop un file “aYeHS.txt”. Una volta eseguito il virus si annida nella directory %System% con i nomi “WinServices.exe”, “Nav32_loader.exe”, “Tcpsvs32.exe” e si inserisce nei registri di sistema in autorun, nonché nella shell di esecuzione dei file .exe (HKEY_LOCAL_MACHINE Software Classes exefile shell open command). Come le precedenti versioni, il virus è dotato di autonomo engine SMTP e si autoreplica a tutti gli indirizzi di posta elettronica presenti nella rubrica di Windows, nonché ai contatti di Microsoft Messenger, di Yahoo Messenger, di ICQ, e a tutti gli indirizzi e-mail contenuti in pagine .ht*! Scheda tecnica su SymantecPreleva la Cura by Symantec