病毒名称: worm.yanz.b

中文名称: 燕子

威胁级别: 中

病毒类型: 蠕虫

受影响系统: win9x / winnt

发现时间: 2004年11月24日

病毒简介:

该病毒通过共享、电子邮件等多种方式传播，病毒的文件名仿冒孙燕姿的的歌曲

（如：huai_tian_qi tao_wang），诱使用户打开运行，打开后会弹出一个

“no windows. yes doors and holes”内容的对话框。

病毒还会尝试从网上下载一个键盘记录木马，窃取用户的信息。

技术特点:

1、在创建如下文件：

c:\yanzi.htm

%systemroot%\sun_yanzi.zip（为含有病毒的压缩包，包内的名称为：sun_yan_zi-shen_qi.mp3.pif）

%system%\dong_shi.exe （病毒自身拷贝）

%system%\nvcpl.exe（病毒自身拷贝）

%system%\i_am_sun_yanzi.sysa（mime编码的病毒）

%system%\huai_tian_q1.sys （包含有病毒的mime的压缩包）

yanzi.vbs（生成sun.exe）文件

2、在注册表主键：

hkey_local_machine\software\microsoft\windows\currentversion\run

添加如下键值

"nvcpl"=%system%\nvcpl.exe

3、在所有含有shar的文件夹内复制自身，文件名可能如下之一：

sunyanzi.mp3.exe

sun_yanzi-huai_tian_qi.mpg.exe

sun_yanzi-i_am_not_sad.mp3.exe

sun_yanzi-leave_me_alone.mp3.exe

sun_yanzi-mei_you_ren_de_fang_xiang.avi.exe

sun_yanzi-shen_qi.exe

sun_yanzi-tao_wang.mpeg.exe

yanzi.mp3.exe

yanzi_sun-forever.mp3.exe

4、创建stefanie sun yanzi互斥量。

5、在如下文件中搜索电子邮件：

.adb

.asp

.dbx

.doc

.htm

.html

.jsp

.rtf

.txt

.xml

6、过滤含有以下字符的邮件地址：

@aksam

@dostmail

@e-kolay

@erdemir

@erdemironline

@hurriyetim

@milliyet

@mynet

@ntvmsnbc

@posta

@sabah

@superonline

7、邮件来自为以下之一：

asia_singer

great_asia_singer

stefanie sun yanzi

sun_yanzi

sun_yanzi_hayrani

sun_yan_zi

8、邮件主题为以下之一：

forever sun yanzi

great_asia_singer

hoscakal

i_hate_spyware

sun_yanzi_innocent

sun-yanzi-mp3-archive

sun_yanzi_hayrani

9、邮件内容为以下之一：

i can not contact you. because, i am far to you(turkiye)

i want to meet sun yanzi. i am loving sun-yanzi's magic. call me yanzi. but you don't contact me(turkiye).

i want to see sun yanzi. call me sun yan zi ;)

my favourite singer is stefanie sun yanzi

please listen to me stefanie sun yanzi.

you must to listen sun yanzi. i am enjoying to listen sun yanzi.

10、附件名为以下之一：

sun_yanzi

huai_tian_qi

sun_yanzi_mp3

great_asia_singer

world_tour_sun_yanzi

11、附件扩展名为以下之一：

.zip

.scr

.pif

12、sun.exe会尝试从网上（http://sunyanzi.*******.cn/****.exe）下载一个键盘记录器(win32.troj.akl）用于记录用户键盘。