Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor einem neuen, sehr gefährlichen Internet-Wurm namens 'Yarner', der sich als Antiviren-Programm "YAW" tarnt.

'Yarner' tarnt sich meisterhaft als offizielle Mitteilung der populären deutschen Web-Seite Trojaner Info, die sich mit der Antiviren-Sicherheitsproblematik beschäftigt. 'Yarner' verbreitet sich via eMail in angehängten Dateien. Die verseuchten Dateien sehen aus wie folgt:

Absenderadresse (zufällig ausgewählt):

• Trojaner-Info [echte eMail-Adresse eines infizierten Computers]
• Trojaner-Info [webmaster@trojaner-info.de]

Der Name der angehängten Datei: YAWSETUP.EXE
Betreffzeile: Trojaner-Info Newsletter (aktuelles Datum des verseuchten Computers)

Meldungs-Body:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verf?gung. Viel Spa- mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************

Wird die Datei YAWSETUP.EXE auf einem Computer gestartet, auf dem keine Antiviren-Software installiert ist, beginnt der Wurm seine Infektions- und Verbreitungs-Routinen auszuführen.

'Yarner' erzeugt im Windows-Verzeichnis eine zusätzliche Datei mit einem zufällig ausgewählten Namen (bis 100 Zeichen) und registriert diese im Autostart des Windows System-Verzeichnisses. So aktiviert sich der Wurm nach jedem Neustart des Betriebssystems. Um sich via eMail zu verschicken, verschafft sich 'Yarner' Zugriff auf das MS Outlook-Adressbuch und scannt den Inhalt von Dateien mit .PHP, .HTM, .SHTM, .CGI, .PL als Endungen im Windows-Verzeichnis und liest dort eMail-Adressen. Diese Daten werden in die Dateien KERNEI32.DAA und KERNEI32.DAS gespeichert.

Anschließend verbindet sich der Wurm mit dem SMTP-Server und versendet über ihn seine Kopien.

'Yarner' besitzt darüber hinaus eine weitere sehr gefährliche Funktion. Mit einer Wahrscheinlichkeit von zehn Prozent löscht der Wurm nach dem eMail-Versand alle Daten auf dem infizierten Computer.

"Trojaner-Info, unter dessen Namen die infizierten Meldungen versandt werden, ist eine beliebte Nachrichten-Quelle, die über Probleme der Antiviren-Sicherheit berichtet und hat mit der Malware nichts zu tun. Dieser Fall beweist, dass sowohl die eMail-Adresse, als auch der Meldungs-Body leicht gefälscht werden können. Virenautoren können so Massen-Epidemien auslösen, da die Empfänger nichts Schädliches hinter Trojaner-Info vermuten", erläutert Eugene Kaspersky, Leiter der Antiviren-Forschungen bei Kaspersky Labs. In diesem Zusammenhang empfiehlt Kaspersky Labs wieder, höchst vorsichtig mit angehängten Dateien umzugehen, selbst wenn diese im Namen von Antiviren-Herstellern versandt werden.

Die Schutzmaßnahmen gegen 'Yarner' wurden bereits den Kaspersky Anti-Virus Datenbanken hinzugefügt.