Hier deutschsprachige Infos dazu:
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
Es ist durchaus möglich, dass diese Mails durch eine Person verschickt worden sind, die unseren Newsletter selber abonniert hat. Die Mailsignatur lässt daraus schliessen, da unsere aktuellen Statistikzahlen vom 16.02.2002 darin enthalten sind.
Lediglich der Mailtext entspricht nicht unserem Stil und wir haben während unserer langjährigen Laufbahn noch niemals Dateien an unsere Newsletterempfänger und andere Personen verschickt.
Die angehängte Datei "yawsetup.exe" rund 440 Kilobyte gross scheint nach ersten Analysen überaus aggresiv und gefährlich zu sein und erinnert stark an den ANTSET_Wurm im letzten Jahr.
Kurzanalyse von Andreas Haak:
- sieht sehr nach einer Variante von ANSET aus, gleiche Icon, teilweise ähnliche Routingen. Richtet jedoch jetzt erhebliche Schäden an.
- beschreibt das gesamte System mit "Datenmüll", löscht nach einem Zufallsprinzip das gesamte Laufwerk auf dem das Betriebssystem vorhanden ist.
- erstellt eine Liste mit Servern und Mailadressen, die es im System gefunden hat (kerneI.daa und kerneI.das)
- ersetzt notepad.exe durch eine Kopie von sich selber
- versucht sich mittels zufälliger Dateinamen zu tarnen
Zu diesem Zeitpunkt (18.02.2002 - 23:30 Uhr) sind die Ausmasse der Verbreitung noch nicht abzusehen, da wir nicht wissen, an wieviele Personen diese Mails verschickt worden sind. Doch scheint die Verbreitunsroutine recht effektiv zu sein.
Auch wurden die Mails NIE über unseren Mailaccount selber verschickt, sondern erfolgte lediglich eine Fälschung unseres Absenders.
Wir (Thomas Tietz und Andreas Ebert) haben diese Mails niemals in den Umlauf gesetzt und verbürgen uns mit unseren guten Namen, die wir im Laufe der Jahre uns erarbeitet haben.
YAW in seiner aktuellen Version 1.0 sollte nur direkt von unserer Homepage downgeloadet werden, NIEMALS über E-Mails.
Mit freundlichen Grüssen
Thomas Tietz & Andreas Ebert
trojaner-info.de
[/quote]
- - -
Bekannte Schäden: verschickt sich an alle Mailadressen aus dem Adressbuch von Outlook, sucht nach Mailadresen verschiedener Dateiendungen auf dem System. Benötigt kein Mailprogramm, da Yarner über eine eigene SMTP-Routine verfügt. Eine Infektion kann zum völligen Datenverlust führen, da zu einer Wahrscheinlichkeit von 1:10 bestehende Daten mit "Datenmüll" überschrieben werden.
- - -
Schadteil
Wird das Attachment ausgeführt, startet WORM_YARNER.B die Applikation NOTEPAD.EXE und bennennt sie in NOTEDPAD.EXE um. Er selbst koopiert sich in eine neue NOTEPAD.EXE, wobei bei jedem aufruf auch die umbenannte Originaldatei aufgerufen wird, dadurch verschleiert WORM_YARNER.B eine Infektion. Durch Aenderungen in der Registry, wird er bei jedem Neustart aktiv.
Aus dem Windows-Verzeichnis wird eine zufällig gewählte Zahl von Dateien gelöscht.
- - -
SOPHOS-Antivirus-Benutzer können ein Antivirus-Update zum Schutz vor diesem neuen Wurm hier herunterladen:
Oder gleich alle IDE-Viren-Ereknnungsdatein herunterladen von dieser Seite:
und man kann sich hier zu einem Info-Brief-Abo anmelden, der die neuesten Viren-Nachrichten per eMail verschickt:
Benutzer anderer AV-Programme schauen halt bei ihrem Hersteller nach dem passenden Update.
ciao
Andreas
