中新網(wǎng)1月2日電 1月2日凌晨，江民快速反病毒小組最新監(jiān)測(cè)到一種名為“夏娃”變種(WORM/YAHA.L)的惡性蠕蟲(chóng)病毒。該病毒目前正在瘋狂肆虐，現(xiàn)在已經(jīng)使全世界范圍內(nèi)的幾萬(wàn)臺(tái)電腦受到了感染。它會(huì)結(jié)束內(nèi)存中一些特定的殺毒軟件或防火墻的運(yùn)行，修改注冊(cè)表和IE，還可向特定網(wǎng)站發(fā)起DOS(拒絕服務(wù))攻擊。

　　反病毒專(zhuān)家介紹，“夏娃”變種(WORM/YAHA.L)病毒別名為：W32/Yaha.l, I-Worm.Lentin.j, W32/Yaha-L, W32.Yaha.L@mm，病毒大小為34,304 Bytes (UPX壓縮)，77,824 Bytes (不壓縮)。病毒感染的有效系統(tǒng)為所有WINDOWS操作系統(tǒng)。

　　該蠕蟲(chóng)是Yaha病毒的一個(gè)新變種，使用VC++編寫(xiě)，通過(guò)郵件傳播，把自己作為郵件附件發(fā)送給被感染系統(tǒng)中從Windows地址薄、Yahoo Instant Messenger、MSN和.NET Messenger Services以及擴(kuò)展名包含HT的文件中找到的地址，郵件主題、內(nèi)容和附件名稱(chēng)都是隨機(jī)選擇的。與其他Yaha蠕蟲(chóng)的變種一樣，它會(huì)從內(nèi)存中結(jié)束一些特定殺毒軟件或防火墻的進(jìn)程，它的行為整體上與W32/Yaha.K相似，除了觸發(fā)的條件不一樣。它也會(huì)彈出消息框、交換鼠標(biāo)左右鍵功能，在用戶(hù)個(gè)人文件夾(通常是C:\My Documents)和桌面留下一些沒(méi)有病毒的文本文件，這些文件都是隱藏的，并且會(huì)把IE的主頁(yè)修改成其他站點(diǎn)。

　　蠕蟲(chóng)有它自己的SMTP引擎，可以連接到IP地址12.127.17.71，向下面的郵件地址發(fā)送郵件：Windows地址薄(WAB)；Yahoo Messenger中的郵件地址；MSN和.NET Messenger Services中的郵件地址；擴(kuò)展名中包含HT的文件。郵件地址為從系統(tǒng)中找到的郵件地址，郵件發(fā)送方為被感染系統(tǒng)的用戶(hù)名或者病毒隨機(jī)分配的特定內(nèi)容，郵件內(nèi)容為病毒生成的特定內(nèi)容中的一個(gè)，附件為以.exe和.scr為擴(kuò)展名的文件,病毒通常隱藏其中。

　　病毒會(huì)對(duì)巴基斯坦的一個(gè)指定的網(wǎng)站infopak.gov.pk進(jìn)行拒絕服務(wù)攻擊(DoS攻擊),同時(shí)禁用系統(tǒng)中正在運(yùn)行的殺毒軟件和系統(tǒng)工具。如果系統(tǒng)是WIN2000或XP，病毒還會(huì)從內(nèi)存中結(jié)束任務(wù)管理器程序。

　　病毒根據(jù)不同的觸發(fā)條件，產(chǎn)生以下不同的行為。如果系統(tǒng)日期是3月25或5月22，顯示下面特點(diǎn)的消息框：標(biāo)題：You are my Best Friend； 內(nèi)容：Happy Birthday Dear；點(diǎn)擊了OK按鈕，蠕蟲(chóng)就交換了左右鍵功能。如果當(dāng)前系統(tǒng)日期是星期三，蠕蟲(chóng)首先會(huì)在桌面上生成一個(gè)隱藏的文本文件，文件名是6個(gè)隨機(jī)的數(shù)字，文件中可能是病毒生成的特定內(nèi)容中任一串字符串，病毒將感染系統(tǒng)的IE首頁(yè)更改后，把用戶(hù)個(gè)人文件夾(一般是C:\My Documents)中的所有文件和文件夾設(shè)成隱藏的。

　　由于該病毒現(xiàn)已在國(guó)外大規(guī)模暴發(fā)，相關(guān)專(zhuān)家提醒電腦用戶(hù)在上網(wǎng)或收發(fā)郵件時(shí)切記打開(kāi)KV3000殺毒王的實(shí)時(shí)監(jiān)控。