Библиотека Интернет Индустрии I2R.ru

"Yarner" искусно маскируется под официальное сообщение популярного немецкого Web-сайта по проблемам антивирусной безопасности. "Yarner" распространяется по электронной почте в виде вложенных файлов YAWSETUP.EXE. На данный момент обнаружено уже 6 модификаций червя.

Если пользователь имел неосторожность запустить вложенный файл в отсутствие активной антивирусной программы, то червь инициирует процедуры заражения компьютера и дальнейшего распространения.

Прежде всего, "Yarner" создает в каталоге Windows дополнительный файл со случайным именем (до 100 символов) и регистрирует его в секции автозапуска системного реестра Windows. Таким образом червь активизируется после каждой перезагрузки операционной системы. Для рассылки по электронной почте "Yarner" получает доступ к адресной книге MS Outlook, а также сканирует содержимое файлов форматов .PHP, .HTM, .SHTM, .CGI, .PL в каталоге Windows и считывает оттуда адреса электронной почты. Эти данные записываются в файлы KERNEI32.DAA и KERNEI32.DAS. После этого червь соединяется с удаленным SMTP-сервером и через него осуществляет рассылку своих копий.

"Yarner" имеет исключительно опасную деструктивную функцию. С вероятностью 10% после рассылки писем червь уничтожает все данные на зараженном компьютере.

Денис Зенкин, начальник информационной службы "Лаборатории Касперского": "Это классическая эпидемия, но локальных масштабов. Сообщение в теле письма написано на немецком языке, соответственно, вероятность того, что вложенным файлом заинтересуются люди, говорящие на других языках, низка.

Количество зарегистрированных инцидентов сейчас исчисляется несколькими сотнями. Как показывает практика, соотношение зарегистрированных инцидентов к незарегистрированным обычно выглядит как 1 к 10. Очень много сообщений об инцидентах из немецкоязычных стран, прежде всего из Германии - Trojaner-Info очень популярный и авторитетный ресурс, а этот червь очень искусно маскируется под сообщение от них.

Применительно к России мы считаем, что вероятность эпидемии крайне низка. Причина та же - использование немецкого языка в тексте письма."

Зараженные письма имеют следующий вид:

Адрес отправителя (выбирается случайным образом):

Trojaner-Info [реальный e-mail адрес зараженного компьютера]

или

Trojaner-Info [webmaster@trojaner-info.de]

Имя вложенного файла: YAWSETUP.EXE

Заголовок: Trojaner-Info Newsletter [текущая системная дата зараженного компьютера]

Текст письма:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verf?gung. Viel Spa- mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************

Anzahl der Subscriber: 5.966

Durchschnittliche Besuchzahl/Tag: 4.488

Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.

************************************