|  | ||||||||||||||||||||||||||||||||
Name: W32.Yarner.A@mm
Aliases: W32/Yarner@MM,I-Worm.Yarner.b,W32/Yarner.A@mm, WORM_YARNER.B,Yarner Variants: Type: Internet Worm Platforms: Windows 32-bit Status: in the wild Threat: V-CON 3 (medium) The following has been derived from information provided by McAfee, Symantec and Trend. Virus Characteristics This is an internet worm which uses its own SMTP engine to send itself to all e-mail addresses found in the Outlook Address Book. It also searches for email addresses within files in the local filesystem. All found addresses are then saved to file named KERNEL32.DAA in the Windows folder. The worm places a copy of itself in the Windows folder using a randomly selected name. The file NOTEPAD.EXE is copied to NOTEDPAD.EXE and the original is replaced with a copy of the worm. The worm attempts to send itself to all found addresses by using the following predefined SMTP servers: 216.113.14.106 joy-go.gr.jp ctripserver.ctrip.com.cn 202.101.62.207 cocess.cocess.co.kr mail.bizpoint.com.sg ns2.webshock.co.kr olympus.mda.com.tr linux2.ele-china.com mailsvr.hanace.co.kr The worm will also search for other SMTP servers by checking the following registry entry: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Account Manager\Accounts\SMTP Server All found SMTP servers are saved in a text file named KERNEI.DAS in the Windows folder. This worm will arrive as an attachment to an email which has the following characteristics: From: "webmaster@trojaner-info.de" (spoofed) Subject: "Trojaner-Info Newsletter 18.02.02", Attachment: "yawsetup.exe". Body: "Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 1. YAW 2.0 - Unser Dialerwarner in neuer Version ************************************ 1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW! http://www.trojaner-info.de/dialer/yaw.shtml ************************************ Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche. Mit freundlichem Gruss Thomas Tietz & Andreas Ebert http://www.trojaner-info.de ************************************ Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail. ************************************ " Payload This is a mass-mailer which can cause an increase in mail traffic. It also replaces the Notepad.exe file with a copy of itself. Preventative Measures Block messages which have the following characteristics at the messaging gateway where possible: From: "webmaster@trojaner-info.de" Subject: "Trojaner-Info Newsletter 18.02.02", Attachment: "yawsetup.exe" Fixes Available Network Associates: Extra DAT is available, DAT 4187(Feb 20,2002), Currently detected in Daily DATs Symantec: Definitions to be released Feb 19. 2002 Trend: Pattern #230 < - Virus Information Index - >
| | |||||||||||||||||||||||||
