病毒名称: Worm.Yanz.b

中文名称: 燕子

威胁级别: 中

病毒类型: 蠕虫

受影响系统: Win9x / WinNT

发现时间: 2004年11月24日

病毒简介:

该病毒通过共享、电子邮件等多种方式传播，病毒的文件名仿冒孙燕姿的的歌曲

（如：Huai_Tian_Qi Tao_Wang），诱使用户打开运行，打开后会弹出一个

“No Windows. Yes doors and holes”内容的对话框。

病毒还会尝试从网上下载一个键盘记录木马，窃取用户的信息。

技术特点:

1、在创建如下文件：

C:\Yanzi.htm

%SystemRoot%\Sun_YanZI.zip（为含有病毒的压缩包，包内的名称为：Sun_Yan_Zi-Shen_Qi.mp3.pif）

%System%\Dong_Shi.exe （病毒自身拷贝）

%System%\NvCpl.EXE（病毒自身拷贝）

%System%\I_am_Sun_Yanzi.sysa（MIME编码的病毒）

%System%\Huai_Tian_Q1.sys （包含有病毒的MIME的压缩包）

YanZi.vbs（生成Sun.exe）文件

2、在注册表主键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加如下键值

"NvCpl"=%System%\NvCpl.EXE

3、在所有含有SHAR的文件夹内复制自身，文件名可能如下之一：

SunYanZi.mp3.exe

Sun_YanZi-Huai_Tian_Qi.mpg.exe

Sun_YanZi-I_am_not_sad.mp3.exe

Sun_YanZi-Leave_me_alone.mp3.exe

Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe

Sun_YanZi-Shen_Qi.exe

Sun_YanZi-Tao_Wang.mpeg.exe

YanZi.Mp3.exe

YanZi_SuN-forever.mp3.exe

4、创建Stefanie Sun Yanzi互斥量。

5、在如下文件中搜索电子邮件：

.adb

.asp

.dbx

.doc

.htm

.html

.jsp

.rtf

.txt

.xml

6、过滤含有以下字符的邮件地址：

@aksam

@dostmail

@e-kolay

@erdemir

@erdemironline

@hurriyetim

@milliyet

@mynet

@ntvmsnbc

@posta

@sabah

@superonline

7、邮件来自为以下之一：

Asia_Singer

Great_Asia_Singer

Stefanie Sun Yanzi

Sun_YanZi

Sun_YanZi_Hayrani

Sun_Yan_Zi

8、邮件主题为以下之一：

Forever Sun Yanzi

Great_Asia_Singer

Hoscakal

I_hate_Spyware

SuN_YanZi_innocent

Sun-YanZi-Mp3-Archive

Sun_YanZi_Hayrani

9、邮件内容为以下之一：

I can not contact you. Because, I am far to you(Turkiye)

I want to meet Sun YanZi. I am loving Sun-YanZi's Magic. Call me YanZi. But you don't contact me(Turkiye).

I want to see Sun YanZi. Call me Sun Yan Zi ;)

My Favourite Singer is Stefanie Sun Yanzi

Please listen to me Stefanie Sun Yanzi.

You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi.

10、附件名为以下之一：

Sun_YanZi

Huai_Tian_Qi

Sun_Yanzi_Mp3

Great_Asia_Singer

World_Tour_Sun_YanZi

11、附件扩展名为以下之一：

.zip

.scr

.pif

12、Sun.exe会尝试从网上（http://sunyanzi.*******.cn/****.exe）下载一个键盘记录器(Win32.Troj.AKL）用于记录用户键盘。