Itoday - Một loại worm Internet mới có tên là Yaha.E vừa được các chuyên gia nghiên cứu virus của công ty Central Command phát hiện. Đây là một loại worm khá xảo quyệt, núp trong các e-mail với tiêu đề ngẫu nhiên.  

Yaha.E là một phiên bản sửa đổi của loại worm Lentin (Valentine.scr). Nó lây lan bằng cách thu thập các địa chỉ e-mail trong Windows Address Book cũng như trong cache các trang Web (cache là nơi máy tính lưu trữ các thông tin về trang web mà người sử dụng truy cập). Yaha.E còn có thể phát tán đến các địa chỉ mà nó tìm thấy trong phần mềm MSN Messenger và ICQ Chat trong máy tính.

Yaha.E núp trong một e-mail có tiêu đề ngẫu nhiên. File đính kèm e-mail chính là worn Yaha.E. Tên file gồm 3 phần, chẳng hạn như love.mp3.bat hoặc dailyreport.doc.pif.

Khi được kích hoạt, worm Yaha.E sẽ tự sao chép vào thư mục \Recycled\ dưới một cái tên ngẫu nhiên (chẳng hạn như ''kiek.exe''. Yaha.E cũng sẽ tạo ra một file text trong thư mục \windows\ . Đồng thời nó sẽ tạo ra một khóa registry như sau:

HKEY_CLASSES_ROOT\exefile\shell\open\command = c:\recycler\kiek %1 %*

Khóa này giúp cho Yaha.E được kích hoạt mỗi khi một file thực thi chương trình được chạy. File thực thi chương trình là các file có phần mở rộng là .exe ; .bat ; .com

Đặc điểm dễ nhận biết nhất của một máy tính nhiễm worm Yaha.E là một tiện ích bảo vệ màn hình được hiển thị với dòng chữ: True Love never Ends, hoặc U r my Best Friend, hoặc U r so cute today.

Worm Yaha.E sẽ tìm cách xóa các tiến trình chứa các dòng chữ như: NAVW32, PCCWIN98, ZONEALARM, AVP32, ANTIVIR, MCAFEE... Đây là cách để vô hiệu hoá các phần mềm nhận biết virus và tường lửa trong máy tính.

Có thể tham khảo thêm thông tin về Yaha.E tại địa chỉ:

http://support.centralcommand.com/cgi-bin/command.cfg/
php/enduser/std_adp.php?p_refno=020617-000007

Đăng Khoa theo Central Command