Win32.Yarner.A@mm

Nume: Win32.Yarner.A@mm
Alias: N/A
Tip: Executable Mass Mailer
Lungime de cod: 437760 bytes
Descoperit: Februarie 19, 2002
Detectat: Februarie 19, 2002, 13:00 (GMT+2)
Raspandire: Mare
Risc: Mare
ITW: Da

Acest vierme de Internet pretinde a fi un program anti-trojan, trimis spre informare ca un newsletter.

Simptome:
– Fisierul yawsetup.exe in directorul Windows
– Fisierul kernel.daa si kernel.das in directorul Windows
– Fisierul Notedpad.exe in directorul Windows

Descriere Tehnica:
Este un Vierme de Internet care se raspandeste prin e-mail. Vine ca atasament la un e-mail cu urmatorul format:

From: Trojaner-Info
Subject: Trojaner-Info Newsletter
Body:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
1. YAW 2.0 – Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 – Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn – unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter [email protected] zur Verf?gung. Viel Spa? mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert

************************************

Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.

************************************

Attachment: yawsetup.exe

Rutina de infectie:
Cand este executat atasamentul, virusul se va copia sub un nume aleator (cu multe caractere) si extensia .exe.

Deasemenea va schimba numele fisierului notepad.exe sub numele de notedpad.exe si va rescrie fisierul original.
Pentru a fi pornit la fiecare restartare a calculatorului va adauga cheia: HKEY_CURRENT_USER\\Microsoft\\Windows\\CurrentVersion\\Run\\Once
cu valoarea

Pentru a trimite mesaje infectate (in acelasi format ca cel prezentat mai sus) va cauta pe disc adrese e-mail in fisiere cu extensia: .php .htm .shtm .cgi .pl

Va folosi Outlook-ul pentru a aduna contactele utilizatorului si toate vor fi scrise in fisieru kernel32.daa in directorul Windows.

Pentru a trimite mesajele se va folosi de servere publice SMTP:
– 216.113.14.106
– cur.de
– 217.5.234.178
– www.mpu.de

Va citi setarile utilizatorului, in ce priveste conturile de mail pentru a folosi serverele SMTP. Aceste informatii sunt scrise in kernel32.das.
In unele cazuri va incerca sa stearga toate fisierele de pe disc.

Dezinfectie:
– manuala: stergeti respectiva cheie din regisreii si redenumiti fisierul notedpad.exe ca fiind notepad.exe (dupa ce stergeti notepad.exe)
– automat: scanati cu BitDefender cu optiunea de a sterge fisierele gasite infectate

Analizat de
Costin Ionescu
BitDefender Virus Researcher

Pentru mai multe infomatii contactati:
Mihai Florin RADU
BitDefender Communication Manager
E-mail: [email protected]
Web: www.bitdefender.com
Phone: +40 (1) 233 07 80 / 104