W32.Yarner

Dieser etwa Mitte Februar 2002 entdeckte Virus ist besonders im deutschen Sprachraum weit verbreitet. Er gibt vor, die neue Version eines so genannten "Dialer-Warners" zu sein, also angeblich ein Programm, das den Benutzer vor lästigen gebührenpflichtigen Einwähl-Programmen warnt. Die selbe Masche hat im Oktober 2001 bereits der Anset-Wurm [1] verwendet.

Wie F-Secure [2] schreibt, sind bereits sieben Varianten dieses Wurms im Umlauf, die sich aber voneinander nur geringfügig unterscheiden. Hier die Kennzeichen der Mail mit dem fatalen Inhalt; allerdings könnten neue Varianten dieses Wurms auch andere Texte enthalten:

Gefälschter Absender: Trojaner-Info

Betreff: Trojaner-Info Newsletter ((und Datum, z.B. 19.02.02))

Name der Beilage: yawsetup.exe

Der Mail-Text ist als Newsletter aufgemacht und enthält den Text, den wir hier zwischen den als "Anfang" und "Ende" markierten Zeilen wiedergeben:

---"Anfang"---

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.

Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version

Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spass mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir

bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine

angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************

Anzahl der Subscriber: 5.966

Durchschnittliche Besuchzahl/Tag: 4.488

Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer

Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber

abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du

diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine

entsprechende E-Mail.

************************************

---"Ende"---

Wenn der Benutzer die Beilage YAWSETUP.EXE ausführt, installiert sich der Wurm im System und legt mit seinem Verbreitungs- und Schadensmechanismus los. Zuerst kopiert sich der Schädling unter einem zufällig gewählten, bis zu 100 Zeichen langen Dateinamen (siehe Beispiel) und der Endung EXE in den Windows-Ordner. Diese Datei trägt er in der Windows Registry ein, und zwar in diesem Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

Beispiel-Dateiname: ddfUdEDshaSEYadkWBUdFrnKlFWReyHQpTWCqMkkTRhHoIqHMZugxnPTXF.exe

Nun benennt der Wurm die Windows-Datei NOTEPAD.EXE in NOTEDPAD.EXE um und legt eine Kopie von sich selber als NOTEPAD.EXE ab. Fortan wird der Virus jedesmal ausgeführt, wenn der Benutzer eine Text-Datei mit dem Notepad-Editor bearbeiten will.

Um sich weiter zu verbreiten, sammelt der Wurm Adressen aus verschiedenen Dateien: Aus dem Outlook Adressbuch und aus allen Dateien mit den Endungen PHP, HTM, SHTM, CGI und PL, auf die er im Windows-Ordner stösst. Die gefundenen Adressen speichert er in die Datei kernei32.daa, die er im Windows-Ordner erzeugt. Damit der Versand verseuchter Mails klappt, schreibt er noch eine Datei (kernei32.das) mit Einstellungen von Postausgangs-Servern in den Windows-Ordner. Die Mails, die vom infizierten System aus verschickt werden, lauten dann wie oben beschrieben und tragen die verhängnisvolle, etwa 437 KB grosse Beilage (yawsetup.exe).

Der Schadensteil dieses Wurms ist sehr unangenehm: Sobald er eine infizierte Mail senden konnte, löscht er in einem von zehn Fällen alle Dateien jenes Laufwerkes, in welchem Windows installiert ist.

Den Schaden haben übrigens nicht nur die Benutzer, denn die Urheber dieses heimtückischen Wurms begehen Rufmord an seriösen Software-Entwicklern. Die wahren Inhaber der Webseite www.trojaner-info.de [3] haben mit dem Wurm nichts zu tun und sind selber Opfer der Virenschreiber. Schon letztes Jahr wurde der Ruf des Entwicklers eines Anti-Trojaner-Programms erheblich geschädigt, als sich ein Virus unter seinem Namen verbreitete. Der echte Dialer-Warner namens YAW liegt erst in der Version 1.0 vor.

Trauen Sie keiner Mailbeilage, die Sie nicht angefordert oder erwartet haben. Seriöse Software-Hersteller verschicken ihre Programme niemals unaufgefordert! Wenn Sie den echten Dialer-Warner benutzen möchten, beziehen Sie ihn bitte ausschliesslich von der Webseite der Entwickler (Trojaner-Info).

Beseitigung:

Löschen Sie alle Dateien, die der Wurm erstellt hat. Damit Sie alle finden, aktualisieren Sie Ihren Virenscanner und scannen Sie damit Ihre Festplatte. Möglicherweise übersieht Ihr Virenscanner zwei vom Wurm erstellte Dateien im Windows-Ordner, weil diese an sich nicht gefährlich sind: kernei32.daa und kernei32.das. Löschen Sie auch diese. Entfernen Sie auch die Mail, in welcher der Wurm eingetroffen ist. Benennen Sie die Datei NOTEDPAD.EXE wieder in NOTEPAD.EXE um.

Original-Informationen von Antivirus-Herstellern über diesen Schädling finden Sie beispielsweise bei Kaspersky [4], Sophos [5], NAI/McAfee [6] oder Symantec [7].