Yarner
est un virus de mail écrit en Delphi qui
se présente sous la forme d'un message intitulé "Trojaner-Info
Newsletter [date du jour]" accompagné d'un fichier
joint nommé YAWSETUP.EXE (437 Ko). L'expéditeur
est "Trojaner-Info", afin de laisser croire que
le message est une alerte accompagnée d'un outil de
désinfection. Le
corps du message est rédigé en allemand :
"Hallo
!
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
01. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
01. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner
YAW. YAW ist nun in einer brandneuen und stark erweiterten
Version verfuegbar. Alle unsere Newsletterleser bekommen ihn
kostenlos zusammen mit diesem Newsletter. Also einfach die
angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes
Andreas Haak unter andreas@ants-online.de zur Verf gung. Viel
Spaß mit YAW!
<http://www.trojaner-info.de/dialer/yaw.shtml>
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info
News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen
allen Lesern noch eine angenehme Woche. Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>
************************************
Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag:
4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du
erhalten, da du in unserer Verteilerliste aufgenommen wurdest.
Solltest du unseren Newsletter nicht selber abonniert haben,
sondern eine andere Person ohne dein Wissen, kannst du diesen
auf unseren Seiten wieder abbestellen. Oder sende uns einfach
eine entsprechende E-Mail.
************************************ "
Si
le fichier attaché est exécuté, le
virus se copie sur le disque sous le nom Notepad.exe (après
avoir renommé le véritable Notepad en Notedpad.exe)
puis modifie la base de registres afin d'être exécuté
à chaque démarrage de l'ordinateur. Il récupère
ensuite les adresses emails présentes le cas échéant
dans le carnet d'adresses Outlook ainsi que dans les fichiers
.PHP, .HTM, .SHTM, .CGI, .PL du répertoire Windows
pour les stocker dans un fichier nommé KERNEI32.DAA
puis s'y envoyer automatiquement grâce à une
liste prédéterminée de serveurs SMTP.
Ce virus
est hautement destructif : dans un cas sur dix, il supprime
tout ou partie des fichiers présents sur le disque
dur après s'être auto-envoyé aux correspondants.
Pour s'en préserver, il suffit le cas échant de supprimer
le mail contaminé sans ouvrir le fichier joint.
Dossier
Secuser.com sur les virus
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|