W32/Yaha-Q

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression des vers.

W32/Yaha-Q est un ver qui arrive généralement dans un e-mail mais qui peut aussi arriver sur un ordinateur via les lecteurs partagés du réseau.

L'e-mail dans lequel le ver arrive peut avoir une large sélection d'objets et de corps de message. L'e-mail peut aussi être un moyen d'usurpation car il ne provient pas nécessairement de l'expéditeur qui apparaît dans le champs "De" du client e-mail de l'utilisateur.

W32/Yaha-Q se copie dans les fichiers exeloader.exe et mstask32.exe qui se trouvent dans le dossier système de Windows.

Les entrées suivantes sont créées dans la base de registre pour exécuter le ver lorsque Windows démarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftServiceManager
= <système>\mstask32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
MicrosoftServiceManager = <système>\mstask32.exe

L'entrée HKCR\exefile\shell\open\command de la base de registre est mise à jour pour que la copie du ver exeloader.exe soit exécutée lorsqu'un fichier EXE est lancé.

W32/Yaha-Q contient une longue liste d'applications antivirus, de gestionnaires Windows et de sécurité dont les processus sont terminés s'ils sont en cours d'exécution. Le ver termine aussi tout processus qui a une fenêtre associée avec l'un des titres suivants :
Windows Task Manager
System Configuration Utility
Registry Editor
Process Viewer

HKLM\Software\Microsoft\Windows\CurrentVersion\ZoneCheck est configurée pour pointer vers l'un des sites Web suivants :
pakistan.gov.pk
paki.com
pcb.gov.pk
comsats.com
kse.com.pk

L'entrée de registre HKLM\Software\Microsoft\Snakes est créée et contient les valeurs Author, Comments, Version et Web.

Lorsqu'il est exécuté un mercredi, W32/Yaha-Q réalise les quatre opérations suivantes :

1) Modification de la page d'accueil d'Internet Explorer via l'entrée HKU\Software\Microsoft\Internet Explorer\Main\Start Page de la base de registre. La nouvelle page d'accueil devient http://www.indiansnakes.cjb.net.

2) Ajout d'un lien vers le site Web http://www.indiansnakes.cjb.net dans tous les fichiers HTM et HTML trouvés dans le dossier inetpub/wwwroot/.

3) Propagation sur les partages réseau.

4) Création dans le dossier Windows d'un fichier texte portant un nom aléatoire contenant l'un des cinq blocs de texte suivants :

"=================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
sNAkE p0iSoN wiLL fUCk pAKIs
n0w wE aRe a tEAm..
bEWarE oF tHe p0iSoN oF tHe snAKeS..

bACK oFF paKI hAckERs,uR dAyS aRe oVeR..
pAkIsTaN's IT fUtuRe iS iN uR hANd..
U sToP..wE sToP..

u sTarTeD.. wE fInIshED...
=================================================

bY R0xx,c0bra,dEviL inCArNatE
visIT uS : http://indiansnakes.cjb.net"

"=================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
---------------------------
thiS iS juST thE begiNNinG..
s00000 mUcH t0 c0mE..
n0 moRe pAK shiT wiLL be toleRATeD..
tiME f0r somE payBACK..

thERe iS nothING likE teAM w0rk..

iNDiAN snAKeS wiTH hARD p0iSoN..
wE wiLL bE BACk....
=================================================
<> iNDiAn snAKeS <>
* c0Bra
* R0xx
* kiNG c0Bra
* snaKeEyEs
* dEViL inCARnATe

http://indiansnakes.cjb.net"

"=================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
-------------------------
iNdIaN IT exPeRTs.. aRe u bUSy eArNiNg m0nEy ???
d0 s0mEthInG f0r uR c0untRY yaaaaar...
c0mE aNd w0rK wIth uS..

bUt hEy wE aInT aNy IT eXpeRTs.. wHy ???
bEcAuSE wE d0nT hAvE ceRtiFicAtEs wHiCh u hAvE b0ugHt..

aLL wE aRe... wE aRe tHe gReAt iNdiAnS
d0 u tHinK wE aRe g00d..
tHeN d0 a faVouR f0R uS.. juSt rEspEcT uS..
aND exPLaiN t0 uS.. whY u R n0t rEtaLiaTinG t0 pAkI hAckErS..

n0 0thEr sHiTs nEEdEd..
----------------------------------------------------------
R0xx <qph@achayans.com>
c0bra <c0bra@linuxmail.org>
dEviL inCaRnaTE <666@achayans.com>
==================================================
http://www.indiansnakes.cjb.net"

"========================================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs
------------------------
to gigabyte :: chEErS pAL, kEEp uP tHe g00d w0rK..buT W32.HLLP.YahaSux is.. lolz ;)

to Mr Roger Thompson ::
| [technical director of malicious code research for TruSecure Corp]
| --------------------------------------------------------------
| wE arE n0t p0litiCaLy m0tiVatEd sIr...
| wE aRe jUsT rEtaLiaTinG t0 pAkI hAckErS aNd tHeiR sHiT hAcktIviSm..
| hahha Yaha.K suCCessfuLL by lUck ??? eVeR heARd s0meThinG liKe thiS
| a w0rM maDe anD spReaD bY luCk...hehehe lolz..
| aNd fiNallY wE kn0w dAmN weLL wHaT tHe heLL wE aRe doinG...
| thE w0rlD pUshEd uS to tHe dArK siDe..cAnT hElp iT.. no reTReaT no suRRenDeR
| --------------------------------------------------------------

=========================================================

bY R0xx ,c0bra,dEviL inCArNatE
viSIt uS : http://indiansnakes.cjb.net"

"==============================================
iNDiAn snAKeS pReSAnTs : W32/yAHA 2.00
wE aRe tHe gREaT inDIaNs..
------------------------------------------
ab0uT Yaha 2.00 :
maIn miSsIon iS t0 dd0s 5 paKi weBshits..
fuCk paKi sYstEmS bY sEndinG eXploitEd daTa pAckeTs..

deDIcaTed to :
* Trend Micro Corp ( f0r exceLLeNT anaLYsiS lolz ;) )
* Klez auTHoR
* SQL Slammer auTHoR
* inDIan haCKeRs & VXeRs
* inDiAn s0 caLLeD IT eXpeRTs
* pe0pLeS wh0 fiGHt agAINsT coRRupti0n ( i guEss itS alm0st NULL )
* aLL mEmbERs of iNDiAn sNAKeS
* t0 mY bEsT friENd

thIs iS a waR beTweeN inDia & paK hAckeRS..
n0 c0untrY shouLD gEt inVolvEd..
------------------------------------------
<<>> R0xx <<>>
http://www.indiasnakes.cjb.net
<qph@achayans.com>"