© Virusalert schaal

  • Innovatie: 22
  • Besturing: 54
  • Logistiek: 45
  • Schade: 65
  • Schaal: 47
  • Aanduiding: gevaarlijk

I-Worm.Yarner

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico middel
  • Bron (c) 2002, VirusAlert
  • Alias I-Worm.Yarner.a (AVP) I-Worm.Yarner.b (AVP) Trojan.Yaw.20 (MkS_vir) W32.Yarner.A@mm (NAV) W32/Yarner (Sophos) W32/Yarner.A@mm (Norman) Win32/Yarner.A worm (ESET) Win32/Yarner.B@mm (GeCAD) Win32/Yaw.A worm (ESET) Win32/Yawer Yaw yawsetup.exe
  • Preventie Blokkeer binnenkomende email met een bijlagebestand zoals bovenstaand beschreven. (update 17:26) en/of: Update uw antivirussoftware.
  • Verwijderinstructie In de standaard windows directorie maakt dit virus een bestand aan (.exe) wat wordt aangeroepen vanuit de registry. Dit bestand heeft een wisselende naamstelling (zie %RandomText%). Controleer of onderstaande regel in de registry aanwezig is welke verwijst naar dit bestand wat als aanmaakdatum de datum van besmetting heeft (=%WormName%). HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce %RandomText% = %WormName% Het virus veranderd de bestandnaam van het programma Notepad in Notedpad.exe. In de standaardwindowsdirectorie worden twee bestanden aangemaakt, te weten: kernel32.daa & kernel32.das Wij hopen z.s.m. meer informatie te kunnen geven over het aantal business partners van VirusAlert dat dit virus detecteert, kijk hiervoor op deze pagina. -update 17:26 Updates zijn beschikbaar van ondermeer: Symantec McAfee Kaspersky Norman ASA

Yarner is een internetworm die zich verspreid via e-mail. Het betreffende e-mailbericht doet zich voorkomen als een betrouwbare nieuwsbrief afkomstig van de Duitse Security website Trojaner-info. Deze website is niet verantwoordelijk voor deze verspreiding. Voor meer info kunt u ook terecht op hun website (zie hieronder).

De worm is geschreven in Delphi en zit verpakt in een Windows PE EXE bestand.
Het virus wordt geactiveerd door dit bijlagebestand te openen.
De adressen voor verzending worden verzameld uit zowel het adressenboek van Microsoft Outlook als uit web-bestanden waarin adressen zijn opgeslagen, als .PHP, .HTM, SHTM, CGI en .PL.
Voor de verzending maakt het virus gebruik van een eigen SMTP-engine.

Het virus voegt daarnaast regels toe aan de registry van windows, laatste actie is het verwijderen van alle bestanden van de harde schijf waar Windows is geinstalleerd. (meestal C:\)

Eigenschappen van het e-mailtje
onderwerp: Trojaner-Info Newsletter [datum verzending]
bijlagebestand: yawsetup.exe (dit bestand is 437.760 bytes groot)
tekst van het bericht:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 – Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 – Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn – unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle
unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei
Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas
Haak
unter andreas@ants-online.de zur Verf№gung. Viel Spa¯ mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine

angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in
unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht
selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************