Panda Software съобщава за появата на Yanz.A. това е черевй, който отваря TCP порт 67 и слуша не нега. Червеят ще направи опит да стартира всеки изпълнителен файл, който отдалечено изтеглен на заразения компютър през този порт. Този файл може да бъде всякакъв, включително и злонамерен софтуер.
Yanz.A прави опити да прекрати процесите, които протичат към редактора на Windows Registry, наречен REGEDIT.EXE, и MSCONFIG.EXE.
Yanz.A се разпространява по e-mail в съобщение с вариращи характеристики и през програми за общо ползване на файлове peer-to-peer (P2P). И електронните писма и споделените файлове винаги се отнасят до певеца Sun Yan Zi.
Yanz.A лесно се разпознава след като е заразил компютъра, тъй като при стартиране показва на екрана следното съобщение:
Стратегия на заразяване:
Yanz.A създава следните файлове:
-LSASSS.EXE и YANZI.EXE в системната директория на Windows. Тези файлове са копия на червея.
-SUN_YAZI.SYS и SUN.SYS в системната директория на Windows. Тези файлове са копия на червея, кодирани в base64 формат.
- YANZI.ZIP в директорията на Windows. Тези файлове са копия на червея, компресирани кодирани в ZIP формат.
- SUN_YANZI.HTM в директорията, в която е стартиран червея.
Yanz.A създава следния вход в Windows Registry:
- HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Microsoft Kernel = %sysdir% lsasss.exe em32sun.sys pQ” “
Начин на предаване:
Drew.A се разпространява:
1.- По e-mail.
Yanz.A прави следното:
Достига до компютъра в съобщение с вариращи характеристики:
Sender:
Yanz.A фалшифицира e-mail адреса, от който е изпратен. това може да породи объркване.
Фалшифицирания адрес може да съдържа някое от следните имена и пощенски домейни:
Guvenlik, Stephan-YanZi, Sun_YanZi, SunYanZi, Sun-YanZi, YanZi, YanZi-SuN.
Subject:
Forevere Sun Yanzi
Free MP3
Guvenkik
Love and SuN YanZi
SuN YanZi
Sun-YanZi
Sun-YanZi Mp3
Attachments:
Възможни имена: LOVE_SUN, STEPHAN_YANZI, SUN_YANZI, SUN_YANZI_MP3, SUNYANZI.
Възможни разширения: CMD, PIF, SCR, ZIP.
Компютърът се заразява при стартиране на прикачения файл. Yanz.A търси за електронни адреси, съдържащи следните разширения: ADB, ASP, DBX, DOC, HTM, HTML, JSP, RTF, TXT и XML.
Yanz.A се самоизпраща на откритите адреси чрез собствена SMTP машина.
2.През програми за споделяне на файлове.
Yanz.A създава свои копия, изпозлвайки следните имена :
Stephan YanZi.Mp3.exe
Sun YanZi - forever.mp3.exe
Sun YanZi - I am not sad.mp3.exe
Sun YanZi - Shen Qi.exe
Sun-YanZi.mp3.exe
Компютърът се заразява при стартиране на сваления от директориите файл.
Заразен ли е компютърът ми?
За да сте абсолютно сигурни, че Yanz.A не е заразил Вашия компютър, имате следните опции:
-Проверете дали сте получили съобщение с описаните по-горе характеристики.
-Сканирайте компютъра изцяло, използвайки антивирусен продукт на Panda, след като сте проверили дали програмата е обновила вирусните си дефиниции.
- Проверете компютъра с Panda ActiveScan, безплатният online скенер на Panda Software, който бързо ще открие всички възможни вируси - www.antivirus.bg.
Как да премахнете Yanz.A?
- Ако Panda Antivirus или Panda ActiveScan открие Yanz.A по време на сканирането, автоматично ще Ви предложи опцията да го изтриете. Направете това, следвайки програмните инструкции.
- Проверете дали сте получили съобщение с описаните по-горе характеристики и го изтрийте, включително и от папката Deleted Items.
- Изтриите вписването на Yanz.A от Windows Registry:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
Microsoft Kernel = %sysdir% lsasss.exe em32sun.sys pQ” “
Рестартирайте компютъра.
Как да предпазите компютъра си?
- Ако имате инсталирани филтриращи средства, конфигурирайте ги така, че да отхвърлят всяко съобщение с описаните по-горе характеристики. А ако въпреки това получите такова съобщение, изтрийте го, включително и от папката Deleted Items.
- Инсталирайте си сигурна и ефективна антивирусна програма.
- Уверете се, че се обновява ежедневно.
