Yarner.A@mm orm

Artiklen blev oprindeligt publiceret den 27/2/2002

Yarner ormen er en ukomprimeret PE EXE fil skrevet i Delphi og fylder 437 kilobytes. Ormen bliver tilsendt i en e-mail med emnet Trojaner-Info Newsletter (current date) og indeholder en vedhæftet fil yawsetup.exe.

Selve nyhedsbrevet er skrevet på tysk og indeholder en opfordring til at installere det vedhæftede antivirusværktøj, YAW 2.0, som kan forhindre uønskede opkald fra brugerens modem, fx til pornosider.

Eksekveres den vedhæftede fil, omdøber ormen NOTEPAD.EXE til NOTEDPAD.EXE og kopierer sig selv ind i NOTEPAD.EXE filen. I samme Windows bibliotek kopierer den sig også ind i en fil under et tilfældigt genereret navn, fx sdShdaaLEKJkasjke.exe.

I registreringsdatabasen modificerer Yarner.A@mm RunOnce ved at lave en opstartsnøgle, således ormen altid bliver aktiveret ved opstart af Windows systemet.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Ormens formål er at indsamle e-mail adresser, til brug for videre spredning. Ormen søger efter e-mail adresser i *.PHP, *.HTM, *.SHTM, *.CGI og *.PL filer og i Microsoft Outlooks Adressebog.

Yarner opretter to filer i Windows bibliotek, Kernei32.daa og Kernei32.das. Heri gemmes hhv. oplysninger om de e-mail adresser, den har fundet, samt SMTP server oplysninger. Ormen videresendes til alle e-mail adresser via sit eget e-mail program. I afsenderfeltet kan følgende afsender være angivet:

From: webmaster@trojaner-info.de

Afsenderfeltet kan også indeholde adressen på en inficeret bruger.

Når virusen er videresendt, kan ormen forsøge at slette Windows biblioteket, dette vil formentlig ske 1 ud af 10 gange.

I-Worm.Yarner, W32/Yarner, Win32/Yarner, Yarner, W32.Yarner.A@mm, worm_yarner.a, W32/Yaw og W32/Yarner-A er bl.a. de aliaser der er forbundet med Yarner ormen.

Løsning:

For at fjerne Yarner.A@mm skal alle dens filer slettes fra harddisken og alle inficerede e-mails fjernes fra den indgående e-mail database. Det anbefales at anvende et opdateret anti-virus program, fordi ormen har genereret tilfældige filnavne.

Hvis ormens filer ikke umiddelbart kan slettes, skal filerne omdøbes til et andet format og slettes efterfulgt af en genstart i NT-systemer eller slettes fra DOS i Windows 9x systemer.

NOTEDPAD.EXE skal omdøbes til NOTEPAD.EXE.

Det anbefales ikke at slette en infektion, hvis den er fundet i en e-mail database og ikke en *.EXE fil.

Links