Threat Encyclopedia

Subtitle

Virus, spyware, worms and other threat descriptions

Selected viruses, spyware, and other threats: sorted alphabetically

0-9
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
 

Win32/Yarner

Win32/Yarner is a 437760 bytes long worm is written in Delphi.  It spreads as an email file attachment.
It arrives as an email message with the subject Trojaner- Info Newsletter.  This text in the message subject is followed by the current time.  The message body is formed by the text:

Hallo !


Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de
Hier die Themen im Ueberblick:

01. YAW 2.0 - Unser Dialerwarner in neuer Version


************************************
01. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verfuegung. Viel Spaß mit YAW

************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.

Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert


************************************

Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488

Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.

************************************

As an attachment to this email message the file yawsetup.exe containing the worm copy is added.
After the file with the worm is executed it gets copied into the directory where the operating system Windows is installed.  The name of the copy is random but the extension is always exe.  The worm ensures its activation after the operating system restart by creating a key in the system registry in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce with the value set on the earlier created file with a random name.
In the directory with the Windows operating system the worm also renames the file Notepad.exe to Notedpad.exe and copies itself to it under the name Notepad.exe.
The worm sends out its copies to addresses found in the address book of the Microsoft Outlook.  It looks for email addresses also in files with the extensions php, htm, shtm, cgi and pl.
The worm creates also files kerneI32.daa and kerneI32.das in the directory where the operating system Windows is installed.
The worm contains a dangerous payload – it randomly deletes files on the hard disk where the operating system Windows is installed.

© 1992-2004 Eset s.r.o. All rights reserved. No part of this encyclopedia may be reproduced, transmitted or used in any other way in any other form or by any means without prior permission from Eset.