การติดตั้งตัวเองของหนอน Yaha.F
หากเราหลงเชื่อและเรียกใช้ไฟล์แนบท้ายจดหมายเจ้าหนอน Yaha.F ก็จะขึ้นมาทำงานอยู่บนหน่วยความจำ หลังจากนั้นมันจะเริ่มกระบวนการติดตั้งตัวเองดังนี้ มันจะสร้างสำเนาของตัวมันเอาไว้ที่ไดเรกทอรีของ Recycled Bin หรือไดเรกทอรีของ Windows ในเครื่องของเราโดยใช้ชื่อไฟล์เป็นตัวอักษร 4 ตัวที่เลือกสุ่มขึ้นมา และทำการแก้ไข registry เพื่อตั้งค่าให้มีการเรียกใช้งานมันโดยแก้ไขค่า registry
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand โดยการลบค่าเก่าทิ้งและเปลี่ยนค่าเป็น
WormName]" %1 %* ซึ่งจะส่งผลให้ตัวมันถูกเรียก ขึ้นมาทำงานบนหน่วยความจำทุกครั้งที่เราเรียกใช้งานไฟล์ชนิด .exe ครับ นอกจากนี้มันยังสร้างไฟล์ข้อความ (ชนิด .txt) ที่มีชื่อแบบสุ่มเอาไว้ในไดเรกทอรีของวินโดวส์ อีกด้วยซึ่งในไฟล์ดังกล่าวมีข้อความที่ระบุถึงชื่อของผู้พัฒนาไวรัสนี้ขึ้น มาครับ
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f*Ck tHE GFORCE-pAK shites
bY
sNAkeeYes,c0Bra
<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
ในขณะที่เราเรียกใช้ไฟล์แนบท้ายนั้นเจ้าไวรัสหนอนอาจแสดงกรอบข้อความขึ้นมา โดยข้อความในกรอบนั้นจะเลือกจากข้อความดังต่อไปนี้
Ur My Best Friend!! No Configuration is availabile Now Config madd U r so cute today #!#! True Love never ends I like U very much!!! U r My Best Friend |
รูปที่ 1 ภาพ Screen Saver ที่ไวรัสแสดงขึ้นมาบนจอ |
หรือ เจ้าหนอน Yaha.F อาจแสดง Screen Saver ขึ้นมาบนจอภาพ ส่วนประกอบในรูปจะมีการเลื่อนขึ้นลง รูปที่ 1 แสดงตัวอย่างของรูปที่ไวรัสแสดงขึ้นมาครับ รูปที่ 1 การแพร่กระจายตัวเองของหนอน Yaha.F
หนอน W32.Yaha.F@mm จะทำการค้นหาและรวบรวมชื่ออีเมล์แอดเดรสจากสมุดรายชื่อของวินโดวส์, รายชื่อในโปรแกรม MSN Messenger , contact list ของโปรแกรม Yahoo Pager, ฐานข้อมูลของโปรแกรม ICQ, และไฟล์ต่างๆ ในเครื่องของเราที่มีนามสกุลประกอบด้วยอักษร "ht" หลังจากนั้นมันจะส่งจดหมายอิเล็กทรอนิกส์ออกไปยังชื่อที่มันรวบรวมมาได้ เหล่านี้ โดยแฝงตัวเองไปในรูปของไฟล์แนบท้ายจดหมาย เจ้าหนอน Yaha.F มีเอนจิ้นในการทำโพรโตคอล SMTP อยู่ในตัวของมันเองโดยในขั้นแรกมันจะหาชื่อ SMTP Server ที่เป็นค่า default ในเครื่องของเราจากค่า registry
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts
ถ้า หากมันไม่พบข้อมูลดังกล่าวมันก็จะใช้ค่า SMTP Server address ที่เก็บอยู่ในตัวโปรแกรมของมันแทน นอกจากนี้มันยังเก็บสำเนาของตัวมันที่ถูกเข้ารหัสในรูปของ MIME ไว้ในไฟล์ชื่อ kitkat ในไดเรกทอรี TEMP ซึ่งจะถูกใช้ขณะที่มันแพร่ระบาดตัวเองออกไปทางจดหมายอิเล็กทรอนิกส์ ฤทธิ์เดชของไวรัสหนอน Yaha.F
เจ้าไวรัสหนอน Yaha.F ไม่มีอันตรายโดยตรงเพราะมันไม่ได้ทำลายข้อมูลหรือโปรแกรมในเครื่องของเราเลย อย่างไรก็ตามการแผลงฤทธิ์ของมันอาจสร้างอันตรายทางอ้อมให้กับเราได้เพราะ เจ้าหนอน Yaha จะพยายามยกเลิก (disable) การทำงานของโปรแกรมตรวจสอบไวรัสที่ตั้งให้ทำงานเมื่อเราเรียกใช้ไฟล์ชนิด ต่างๆ โดยการหยุดการทำงานของ process ใดๆ ที่ active อยู่ในหน่วยความจำ นอกจากนั้นเจ้าหนอนก็ยังพยายามหยุดการทำงานของโปรแกรมประเภท FireWall ด้วย รายชื่อของ process ที่หนอน Yaha หยุดการทำงานคือ
ANTIVIR ATRACK AVCONSOL AVP.EXE AVP32 AVSYNMGR CFINET CFINET32 F-PROT95 FP-WIN F-STOPW IAMAPP ICMON IOMON98 LOCKDOWN2000 LUALL LUCOMSERVER MCAFEE NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 NAVWNT NISSERV NISUM NMAIN NORTON NVC95 PCCWIN98 POP3TRAP PVIEW95 RESCUE32 SAFEWEB SCAM32 SIRC32 SYMPROXYSVC VSHWIN32 VSSTAT WEBSCANX WEBTRAP WINK ZONEALARM
การที่มันหยุดการทำงานของโปรแกรมตรวจ สอบไวรัสและโปรแกรมประเภท FireWall นี่เองที่ทำให้ผู้ผลิตโปรแกรมตรวจสอบไวรัสพากันเตือนให้ผู้ใช้ตามบ้านระวัง ไวรัส Yaha มากเป็นพิเศษเพราะมันจะปล่อยให้เครื่องคอมพิวเตอร์ของเราปราศจากการป้องกัน ใดๆ และอาจกลายเป็นเหยื่อของไวรัสตัวอื่นๆ ในเวลาต่อมาได้โดยง่าย
ในบางกรณีเจ้าไวรัสอาจใช้จุดโหว่ด้านความปลอดภัยเรื่อง Incorrect MIME Header Can Cause IE to Execute E-mail Attachment Vulnerability ด้วย ถ้าหากจดหมายที่ไวรัสแฝงมานี้ถูกเปิดอ่านด้วยโปรแกรมไมโครซอฟท์เอาต์ลุก หรือโปรแกรมเอาต์ลุกเอ็กซ์เพรสที่ยังไม่ได้รับการติดตั้งโปรแกรม patch ไฟล์แนบท้ายจดหมายซึ่งก็คือโปรแกรมของไวรัส Yaha.F นั่นเองก็จะถูกประมวลผลโดยอัตโนมัติ ข้อมูลเกี่ยวกับจุดบกพร่องด้านการรักษาความปลอดภัยเรื่องนี้และโปรแกรม patch เพื่อแก้ไขจุดโหว่ดังกล่าวสามารถดาวน์โหลดได้จาก
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp