Эпидемия: опасный червь Yarner

Обнаружен новый, исключительно опасный Интернет-червя «Yarner», маскирующийся под антивирусную программу YAW. На данный момент уже зафиксированы случаи массового заражения данной вредоносной программой в Германии.

«Yarner» искусно маскируется под официальное сообщение популярного немецкого Web-сайта по проблемам антивирусной безопасности.

«Yarner» распространяется по электронной почте в виде вложенных файлов. Зараженные письма имеют следующий вид:

Адрес отправителя (выбирается случайным образом):

• Trojaner-Info [реальный e-mail адрес зараженного компьютера] или

• Trojaner-Info [webmaster@trojaner-info.de]

Имя вложенного файла: YAWSETUP.EXE
Заголовок: Trojaner-Info Newsletter [текущая системная дата зараженного компьютера]

Текст письма:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 — Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 — Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn — unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verf?gung. Viel Spa- mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine

angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************

Если пользователь имел неосторожность запустить вложенный файл YAWSETUP.EXE в отсутствие активной антивирусной программы, то червь инициирует процедуры заражения компьютера и дальнейшего распространения.

Прежде всего, «Yarner» создает в каталоге Windows дополнительный файл со случайным именем (до 100 символов) и регистрирует его в секции автозапуска системного реестра Windows. Таким образом червь активизируется после каждой перезагрузки операционной системы.
Для рассылки по электронной почте «Yarner» получает доступ к адресной книге MS Outlook, а также сканирует содержимое файлов форматов .PHP, .HTM, .SHTM, .CGI, .PL в каталоге Windows и считывает оттуда адреса электронной почты. Эти данные записываются в файлы KERNEI32.DAA и KERNEI32.DAS.
После этого червь соединяется с удаленным SMTP-сервером и через него осуществляет рассылку своих копий.

«Yarner» имеет исключительно опасную деструктивную функцию. С вероятностью 10% после рассылки писем червь уничтожает все данные на зараженном компьютере.

Процедуры защиты от «Yarner» уже добавлены в обновление базы данных Антивируса Касперского.

Более подробное описание данной вредоносной программы здесь….