VirusAlert.nl logo
  21 maart 2019 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Yaha.E@mm / Yaha.F / Yaha.G (Internet Worm)
Besturing:
Microsoft Windows
Datum:
18 juni 2002
Risico:
Middel
Bron:
(c) 2002, www.VirusAlert.nl
Aliassen:
W32.Yaha.D@mm<br /> WORM_YAHA.E<br /> w32.Yaha.F<br /> w32.Yaha.G<br /> lentin<br /> lentin.e
Eigenschappen:
-Laatste update: 03-07-2002 om 11.56
Het is mogelijk dat u het virus in andere vormen ontvangt dan onderstaand genoemd. Ook slaagt het virus er niet altijd in om zichzelf door te sturen inclusief het bijlagebestand. In dat geval ontvangt u dus alleen een tekstmail, met onder beschreven eigenschappen, en zonder het virus. Het afzendadres van het mailtje hoeft ook niet altijd van degene te zijn die besmet is met het virus.

Yaha.E is een mass-mailer internetworm die zich verspreid via e-mail.
Het virus is afkomstig uit India.
Het virus wordt geactiveerd door het bijlagebestand te openen, of automatisch indien gebruikers geen Microsoft-patches tbv. "Incorrect MIME-header" hebben geinstalleerd. (zie hieronder)

Het virus installeert zich vervolgens op het systeem en verstuurt zichzelf naar alle contactpersonen die het vindt in het adressenboek van de volgende programma`s:

- Microsoft Windows (.WAB)
- MSN Messenger
- Yahoo pager list
- ICQ
- en overige adressen die het vindt in bestanden waarvan de extensie begint met .ht (bijvoorbeeld .htm of .html)

Het virus verstuurt zichzelf door onder wisselende naamstellingen van de onderwerp-aanduiding als de tekst van het bericht. Het bestand waarin het virus zit verpakt is altijd 25.619 byte groot. Het virus tracht geinstalleerde firewall en AV-software uit te schakelen. Op bepaalde systemen slaagt het virus erin om ervoor te zorgen dat bepaalde programma`s niet kunnen starten.

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

Eigenschappen van het e-mailtje:

-Onderwerp: [continue wisselend]
Veelvoorkomend : Onderwerp: Returned mail: see transcript for details:
(in combinatie met tekstbericht onder punt 2)

-Tekst van het bericht: [continue wisselend]
1.[Veelvoorkomend zijn mailtjes met daarin een alinea als:]

This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************

2.[Veelvoorkomend zijn mailtjes met daarin een alinea als:]

The original message was received at Wed, 3 Jul 2002 09:27:09 +0200
from apache@localhost

----- The following addresses had permanent fatal errors -----
************
(reason: 551 User not local; please try <**********>)

----- Transcript of session follows -----
... while talking to *********
>>> RCPT To:<[ ******* >
<<< 551 User not local; please try <**********>
550 5.1.1 ********... User unknown
[***** = hier wordt een emailadres genoemd]

-Naam bijlagebestand: Dit bestand is 25,619 byte groot.

(Andere mogelijkheden en naamstellingen komen ook voor!)

1e deel van de naam is of/of:
[Al dan niet met FW: (forward) er voorgeplaatst]
adres
checkfriends
cadeaubon
dailyreport
darm
friends
friends4u
friendscr
friendsearch
frienship4u
friendshipbird
FRUNLOG
greetings
goldfish Met onderwerp: Goldfish
lbiodata
love
lovefinder
loveletter
loversgang
lovescr
mountan
New relations to check
New WordPad Document
NieuwMicrosoft Word-document
ontslagwerf
passion
rampen in steden in de 14 eeuw
report
resume
rishtha
screensaver4u
shakingfriends
shakingfriendship
tHiZz
tHiZz iZz FroM me §t@ñ tHa EuRO
truelovers
urfriend
Wachtwoorden enzo...
weeklyreport

De 1e extensie luidt of/of:

.doc
.mp3
.xls
.wav
.txt
.jpg
.gif
.dat
.bmp
.htm
.mpg
.mdb
.zip

De eindextensie is of/of:

.pif
.bat
.scr

Voorbeeld:
loveletter.txt.bat
© VirusAlert schaal

Innovatie:  25
Besturing:  45
Logistiek:  15
Schade:  27

Schaal:  28/100

Aanduiding: GEVAARLIJK




Gratis Nieuwsbrief!

Herkenning van besmetting:
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder.


Herkenning van besmetting:

-Trillen/bewegen van uw Windows-desktop.
-Weergave van een aantal tekst-vensters hiervan zijn de volgende teksten bekend:
-U r so cute today #!#!
-True Love never ends
-I like U very much!!!
-U r My Best Friend

1. Bestand(en):
Aanwezigheid van het volgende bestand op uw systeem:

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

2. Registry:
In de sleutel:
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand

Wordt een verwijzing gemaakt naar "bestandsnaam, zie 1".

[Dit zorgt ervoor dat het virus iedere keer na het opstarten van Windows wordt geactiveerd.]


Verwijder instructies:
Optimaal verwijderen bestaat uit 2 stappen.

1a. Update uw antivirussoftware.

1b. Verwijder het virus met uw ge-update AV-software EN/OF via een online tool of scanner.
Het Yaha verwijderingsprogramma van Bifdefender kunt u direct vanaf deze locatie downloaden klik hier.

let wel: na de scan vraagt dit programma om een emailadres, wilt u dit niet afgeven: Kies tegelijk [crtl-alt-del] en kies "bitdefender" binnen het taak-proces en sluit deze af.

Online tools & scanners
U vindt een overzicht op de linkpagina, van deze site. klik hier.
zie voor de tools onder "antivirus-verwijderingstools"
zie voor de scanners onder "check online op.."

2. Pas de registry van Windows aan, zie hieronder.

Aanpassen van de registry:
Yaha.E tast de registryfunctie aan, daarom dient u eerst regedit.exe om te zetten in regedit.com
Ga naar "start" -> "uitvoeren / run"
type in: copy regedit.exe regedit.com [enter]
type in: start regedit.com [enter]

Vervolgens: Ga naar de waarde:
HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand

Je ziet dan een mappenstructuur die eindigt in de geopende map "command".
(Of kies CTRL-F en zoek op de naam "command".
(Controleer vervolgens of je in de bovenstaande mappenstructuur zit!)

Deze selecteer je.
Kies vervolgens in het rechterpaneel de waarde "standaard"
Indien u hier een verwijzing vindt naar het virusbestand (zie "preventie maatregelen : 1") dan heeft het virus deze dus aangepast en dient u onderstaande stappen uit te voeren!

Klik met rechtermuisknop op dit icoon en kies "wijzigen".
Pas vervolgens de waardegegevens aan, type in ["%1" %*].
Kies [ok].
De standaardwaarde in de commandsleutel is nu veranderd in: ""%1" %*"

Start de PC opnieuw op en voer vervolgens met uw ge-update AV-software een volledige systeemscanuit, zet hierbij ook de scan op verborgen bestanden aan. Lees evt. hiervoor de helpfunctie van uw av-pakket.

Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2019 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/Privacy Virusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing

Black Friday Nederland 2018

Wil je ook de beste electronica aanbiedingen tijdens black friday deals 2018? Neem dan een kijkje op blackfridaydeals.nu. Schrijf je vast in voor de nieuwsbrief zodat je niets misloopt op 23 november 2018!

RSS