I-Worm.Yarner - usuwa pliki
W polu "od" zainfekowanych wiadomości widnieją adresy oryginalnych nadawców lub fikcyjne kontakty, które mogą wyglądać następująco:
Od: Trojaner-Info [webmaster@trojaner-info.de]
Pozostałe informacje znajdujące się w zainfekowanych wiadomościach wyglądają następująco:
Załączony plik: yawsetup.exe
Temat: Trojaner-Info Newsletter %CurrentDate%
Treść:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verf?gung. Viel Spa- mit YAW!
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert ************************************ Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy
użytkownik uruchomi załącznik. W takim przypadku robak instaluje się
w systemie i uruchamia procedurę rozprzestrzeniającą oraz dodatkową.
Instalacja
Podczas instalacji robak kopiuje się do katalogu Windows z losową
nazwą składającą się maksymalnie ze 100 losowych symboli oraz z rozszerzenia
EXE. Dla kopii tej tworzony jest klucz auto-run w rejestrze systemowym:
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce gdzie %NazwaRobaka% jest nazwą kopii wirusa, natomiast %LosowyTekst% to kolejny ciąg skladający się maksymalnie ze 100 losowych symboli, przykładowo:
ddfUdEDshaSEYadkWBUdFrnKlFWReyHQpTWCqMkkTRh Następnie robak zmienia nazwę pliku NOTEPAD.EXE
znajdującego się w katalogu Windows na NOTEDPAD.EXE
i umieszcza swoją kopię w miejscu oryginalnego pliku.
Wirus tworzy również dwa dodatkowe pliki w katalogu Windows:
kerneI32.daa oraz kerneI32.das.
Rozprzestrzenianie
W celu wysyłania zainfekowanych wiadomości robak wykorzystuje
bezpośrednie połączenie z domyślnym serwerem SMTP.
Szkodnik pobiera adresy "ofiar" na dwa sposoby. Po pierwsze uzyskuje dostęp
do książki adresowej programu MS Outlook i pobiera adresy do wszystkich
zapisanych w niej użytkowników. Następnie wirus skanuje wszystkie pliki
.PHP, .HTM, .SHTM, .CGI, .PL zapisane we wszystkich podkatalogach folderu
Windows i pobiera z nich adresy e-mail.
Procedura dodatkowa
Po zakończeniu wysyłania zainfekowanych wiadomości robak w jednym
przypadku na dziesięć usuwa wszystkie pliki z dysku, na którym zainstalowany jest
system Windows.
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in
unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht
selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************
%LosowyTekst% = %NazwaRobaka%
HoIqHMZugxnPTXF.exe