I-Worm.Yarner, W32/Yarner, Yarner@mm

Yarner es un gusano propagado el 19 de Febrero del 2002, aparentemente creado en Alemania, de gran difusión masiva vía mensajes de correo electrónico. Debido a ello, ese mismo día ha sido reportado por varias importantes empresas en Perú, siendo este gusano de gran peligrosidad, debido a que simulando ser una herramienta contra los virus, dentro de su código viral posee rutinas destructivas que borran todos los archivos del disco duro de los sistemas que infecte.

Se auto-envía a todos los buzones de la libreta de direcciones de MS Windows y a las direcciones de correo contenidas en los archivos con extensión: .PHP, .HTM, .SHTM, .CGI y .PL. a través de un archivo anexado de nombre yawsetup.exe, utilizando sus propias rutinas SMTP (Simple Mail Transfer Protocol), utilizando el servidor predeterminado, obtenido desde el registro:

El mensaje de correo está escrito totalmente en alemán, simulando ser una nueva herramienta desarrollada por Andreas Haak el cual es un conocido personaje real de Alemania, autor de herramientas contra los virus y troyanos:

El texto completo es:

"Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.

Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle
unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW!

http://www.trojaner-info.de/dialer/yaw.shtml

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch
eine angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert
http://www.trojaner-info.de

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter
nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach
eine entsprechende E-Mail.
************************************ "

Si el usuario ejecuta el archivo yawsetup.exe, el gusano se auto-copiará en la carpeta de C:\Windows con un nombre aleatorio. Por ejemplo:

C:\%WinDir%\sdShdaaLEKJkasjhe.exe

y para poder activarse la próxima vez que se inicie el sistema creará la siguiente llave en el registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[Nombre aleatorio]=C:\%WinDir%\[nombre aleatorio].exe

Luego se auto-copiará nuevamente en la carpeta de Windows con el nombre NOTEPAD.EXE, renombrando previamente el original nombre del Bloc de Notas como NOTEDPAD.EXE.

Como siguiente paso Yarner extraerá los buzones de la libreta de direcciones de Windows e iniciará la búsqueda de archivos con extensión .PHP, .HTM, .SHTM, .CGI y .PL. para extraer de ellos las direcciones de correo que éstos puedan contener y de esta modo crear dos archivos en la carpeta de Windows para alojar dichas direcciones:

C:\%WinDir%\KERNEI32.DAA

C:\%WinDir%\KERNEI32.DAS

Luego procederá a auto-enviarse masivamente.

Su payload final es destructivo y se manifestará en una de cada 10 ejecuciones borrando absolutamente todos los archivos del Disco Duro local.

PER ANTIVIRUS® versión 7.3 actualizado al 19 de Febrero del 2002, detecta y elimina eficientemente este gusano.