W32.Yaha (alias Lentin)

Die E-Mail, in welcher der Yaha-Wurm eintrifft, trägt die unterschiedlichsten Betreffzeilen, Mail-Texte und Dateinamen. Viele davon handeln von Freundschaft, z.B. "Ur My Best Friend" oder "Enjoy friendship" und dergleichen. Details finden Sie zum Beispiel in der Virenbeschreibung von F-Secure [1]. Die momentan mit Abstand am weitesten verbreitete Variante des Yaha-Wurms ist die Variante E (Yaha-E), bei manchen Antivirus-Herstellern auch als Lentin-G bekannt.

Wie schon viele andere Viren und Würmer nutzt auch dieser in einigen seiner Mails eine längst bekannte Sicherheitslücke des Internet Explorers aus. Diese "IFRAME"-Sicherheitslücke bewirkt, dass die schädliche Mailbeilage beim Lesen der Mail mit Outlook oder Outlook Express automatisch ausgeführt wird. Wenn Sie mindestens Internet Explorer 5.01 SP2 bzw. 5.5 SP2 haben, sollte diese Sicherheitslücke gestopft sein. Führen Sie im Zweifelsfall ein Windows-Update durch.

Sofern der Yaha-Wurm mit einer Bildschirmschoner-Endung (.SCR) eintrifft ist, zeigen sich nach dem Start auf dem Bildschirm bunte Sprüche oder eine Dialogbox. Der Schädling legt eine Kopie von sich im Ordner C:\Recycled ab, der normalerweise als Papierkorb dient. Die abgelegte Kopie versieht er mit dem Attribut "hidden" (versteckt).

Nun ändert Yaha einen Eintrag in der Windows Registry, um sicher zu stellen, dass er jedes Mal mit ausgeführt wird, wenn der Benutzer auf dem PC eine Datei mit Endung EXE startet. Der Eintrag befindet sich hier:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Weil der hinterhältige Virenschreiber offenbar ahnte, dass sich inzwischen viele Benutzer mit dem Editieren der Windows Registry auskennen, erneuert der Wurm diesen Eintrag fortlaufend. Einmal gelöscht, ist der Eintrag sofort wieder da, solange der Wurm im Arbeitsspeicher aktiv ist.

Wer jetzt hofft, man könne den Wurm per Taskmanager aus dem Arbeitsspeicher entfernen (wie dies z.B. beim Higuy-Wurm der Fall ist), muss überaus schnell sein oder wird enttäuscht: Sobald der Benutzer den Taskmanager öffnet, schliesst der Wurm diesen sofort wieder, um das Beseitigen des Übels noch mehr zu erschweren.

Die Verbreitung des Yaha-Wurms ist leider ebenso effizient. Der Wurm sammelt die E-Mail-Adressen, an die er sich weiterverbreitet, nicht nur aus den E-Mail-Adressbüchern, sondern auch im .NET-, Yahoo- und ICQ-Messenger, HTML-, DOC- und TXT-Dateien. Die gefundenen Adressen legt er unter einem zufällig generierten Dateinamen (und Endung DLL) im Windows-Ordner ab.

Nein, das war noch nicht alles: Bisweilen schickt er noch eine gefälschte Unzustellbarkeits-Mail hinterher, die in der Beilage wieder eine Wurm-Kopie enthält. Oder er tarnt sich als Spam (unerwünschte Werbe-Mail), der für einen Bildschirmschoner wirbt.

Sitzt der infizierte PC in einem Netzwerk, sucht der Wurm nach weiteren PCs und versucht sich dort unter dem Namen MSTASKMON.EXE in die Windows-Ordner zu kopieren, sofern der Ordner mit Vollzugriff freigegeben ist. Falls er eine Datei namens WIN.INI findet (Win95/Win98) fügt er dieser einen Befehl hinzu, der beim nächsten Start jenes PCs diesen ebenfalls infiziert.

Offenbar wurde der Wurm auch noch mit Schadensfunktionen ausgestattet. So versucht er von Zeit zu Zeit eine pakistanische Webseite zu kontaktieren, was bei einer hohen Verbreitung des Wurms zu einer so genannten "Denial-of-Service"-Attacke auf diese Webseite führen könnte. Der Virenschreiber schiebt politische Beweggründe vor, denn der Wurm legt auf der Festplatte auch noch Textdateien mit anti-pakistanischem Inhalt ab.

Um einer Entdeckung auf dem infizierten System zu entgehen, beendet der Yaha-Wurm auch noch Programme, die im Hintergrund laufen und die vom Namen her zu Antivirus-Software gehören könnten. Anschliessend verhindert er deren Start.

Obiges macht klar, dass sich Benutzer mit ungenügend geschützten Rechnern bald mit erheblichen PC-Problemen wieder finden könnten. Wir können nicht oft genug empfehlen, regelmässig Windows-Updates zu installieren und keine unerwarteten Mail-Beilagen auszuführen. Ein mindestens wöchentlich, besser sogar täglich aktualisierter Virenscanner sollte den Wurm ebenfalls entdecken, bevor er ein System infizieren kann.

BESEITIGUNG:

Sollte Ihr System schon infiziert sein, brauchen Sie jedoch trotzdem nicht zur "Formatier-Keule" zu greifen. Die Virenbekämpfer von F-Secure stellen in Zusammenarbeit mit dem Kaspersky-Labor ein Beseitigungs-Programm zur Verfügung, das diesen zähen Brocken von Ihrer Festplatte entfernen sollte.

Falls Sie mit Windows NT/2000 oder XP arbeiten, müssen Sie sich an Ihrem System als Administrator oder als Benutzer mit Administrator-Rechten anmelden, sonst wird Ihnen Windows den Zugriff auf die notwendigen Dateien verweigern.

Falls Sie Windows ME oder Windows XP benutzen, müssen Sie möglicherweise die Systemwiederherstellung deaktivieren, damit Windows nicht irrtümlich jedes Mal den Schädling wiederherstellt.

Laden Sie vom F-Secure-Server [2] die Datei "yahatool.zip" herunter und entzippen Sie diese auf Ihre Festplatte. Schalten Sie vorübergehend Ihren Virenscanner aus, falls dies der Wurm nicht selber schon getan hat. Meist bewerkstelligen Sie dies, indem Sie per rechter Maustaste das Systemtray-Symbol Ihres Virenscanners (unten rechts, neben der Uhr) anklicken und einen Menüpunkt wie "Deaktivieren" oder "Ausschalten" wählen. Dies müssen Sie tun, damit der Virenscanner den Zugriff auf die infizierten Dateien nicht blockiert.

Führen Sie die entpackte Datei "yahatool.com" per Doppeklick aus. Dies entfernt infizierte Dateien und stellt die betroffenen Registry-Einstellungen wieder her. Starten Sie anschliessend Ihren Rechner neu, danach sollte er wieder sauber sein. Aktivieren Sie Ihren Virenscanner wieder und scannen Sie damit alle vorhandenen Festplatten, um sicherzustellen, dass Sie den Schädling losgeworden sind.

Sollte Ihr PC in einem Netzwerk stehen, scannen Sie die anderen PCs bitte ebenfalls, sonst infizieren sich die Rechner ständig gegenseitig. Sie können das Yahatool auch auf den anderen Rechnern einsetzen. Sofern aber bei diesen der Wurm noch nicht im Arbeitsspeicher sitzt, müssen Sie das Yahatool dazu bringen, den PC trotzdem zu scannen, indem Sie ein DOS-Fenster öffnen, in den Ordner wechseln, in dem Sie das Yahatool abgelegt haben und diesen Befehl eintippen: yahatool /scanfiles

Sollte es danach auf dem gesäuberten PC noch nicht möglich sein, Programme mit Endung EXE zu starten, führen Sie noch unseren EXE-Fix aus, den Sie in den PCtip-Downloads [3] finden. Dieser war zwar ursprünglich für einen anderen Wurm gedacht, funktioniert in diesem Zusammenhang aber auch mit den lästigen Folgen des Yaha-Wurms.

Weitere Informationen:

Vom Yaha/Lentin-Wurm sind neue Varianten aufgetaucht. Normalerweise unterscheiden sich diese von der ersten Wurm-Version durch andere Dateinamen und Mail-Texte. Für PCs, die von der Variante Yaha.K befallen sind, stellt das Labor von Norman VirusControl [4] ein Beseitigungs-Werkzeug zur Verfügung.