中新网1月2日电 1月2日凌晨，江民快速反病毒小组最新监测到一种名为“夏娃”变种(WORM/YAHA.L)的恶性蠕虫病毒。该病毒目前正在疯狂肆虐，现在已经使全世界范围内的几万台电脑受到了感染。它会结束内存中一些特定的杀毒软件或防火墙的运行，修改注册表和IE，还可向特定网站发起DOS(拒绝服务)攻击。

　　反病毒专家介绍，“夏娃”变种(WORM/YAHA.L)病毒别名为：W32/Yaha.l, I-Worm.Lentin.j, W32/Yaha-L, W32.Yaha.L@mm，病毒大小为34,304 Bytes (UPX压缩)，77,824 Bytes (不压缩)。病毒感染的有效系统为所有WINDOWS操作系统。

　　该蠕虫是Yaha病毒的一个新变种，使用VC++编写，通过邮件传播，把自己作为邮件附件发送给被感染系统中从Windows地址薄、Yahoo Instant Messenger、MSN和.NET Messenger Services以及扩展名包含HT的文件中找到的地址，邮件主题、内容和附件名称都是随机选择的。与其他Yaha蠕虫的变种一样，它会从内存中结束一些特定杀毒软件或防火墙的进程，它的行为整体上与W32/Yaha.K相似，除了触发的条件不一样。它也会弹出消息框、交换鼠标左右键功能，在用户个人文件夹(通常是C:\My Documents)和桌面留下一些没有病毒的文本文件，这些文件都是隐藏的，并且会把IE的主页修改成其他站点。

　　蠕虫有它自己的SMTP引擎，可以连接到IP地址12.127.17.71，向下面的邮件地址发送邮件：Windows地址薄(WAB)；Yahoo Messenger中的邮件地址；MSN和.NET Messenger Services中的邮件地址；扩展名中包含HT的文件。邮件地址为从系统中找到的邮件地址，邮件发送方为被感染系统的用户名或者病毒随机分配的特定内容，邮件内容为病毒生成的特定内容中的一个，附件为以.exe和.scr为扩展名的文件,病毒通常隐藏其中。

　　病毒会对巴基斯坦的一个指定的网站infopak.gov.pk进行拒绝服务攻击(DoS攻击),同时禁用系统中正在运行的杀毒软件和系统工具。如果系统是WIN2000或XP，病毒还会从内存中结束任务管理器程序。

　　病毒根据不同的触发条件，产生以下不同的行为。如果系统日期是3月25或5月22，显示下面特点的消息框：标题：You are my Best Friend； 内容：Happy Birthday Dear；点击了OK按钮，蠕虫就交换了左右键功能。如果当前系统日期是星期三，蠕虫首先会在桌面上生成一个隐藏的文本文件，文件名是6个随机的数字，文件中可能是病毒生成的特定内容中任一串字符串，病毒将感染系统的IE首页更改后，把用户个人文件夹(一般是C:\My Documents)中的所有文件和文件夹设成隐藏的。

　　由于该病毒现已在国外大规模暴发，相关专家提醒电脑用户在上网或收发邮件时切记打开KV3000杀毒王的实时监控。