Yarner ist ein E-mail Wurm, der erstmals in Deutschland am 19.2.2002 auftauchte. Der Wurm ist eine PE EXE Datei (437KB), in Delphi geschrieben und der Programmcode ist nicht komprimiert.

Sieben Varianten sind bisher bekannt. Sie haben alle die gleiche Funktionalität und den gleichen Text, der verbreitet wird.

Einmal gestartet, installiert sich der :Wurm im System Er kopiert sich unter einem Zufallsnamen (z.B. 'sdShdaaLEKJkasjhe.exe') in das Windows-Verzeichnis. Außerdem erstellt er einen Autostart-Key in der Registry, der bewirkt, dass der Wurm bei jedem Windows-Neustart aktiviert wird:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Der Key-Name wird zufällig vergeben und der Wert enthält den Pfad auf den Wurm im Windows-Verzeichnis. Ebenfalls kopiert sich der Wurm als NOTEPAD.EXE in das Windows-Verzeichnis und benennt die Originaldatei in NOTEDPAD.EXE um.

Dann sucht der Wurm nach Dateien mit der Endung *.PHP, *.HTM, *.SHTM, *.CGI und *.PL und sucht nach E-Mail-Adressen in diesen. Ebenso sucht er danach im Outlook-Adressbuch. Der Wurm erstellt 2 Dateien im Windows-Verzeichnis:
KERNEI32.DAA und KERNEI32.DAS, wo er die E-Mail-Adressen und SMTP-Server-Namen ablegt.

Nachdem er die E-Mail-Adressen "gesammelt" hat, bezieht der Wurm den SMTP-Server-Namen vom Internet Account Manager aus dem Registry-Eintrag und schickt sich selbst an alle E-MAIL-Adressen, die er finden konnten mit folgender E-Mail:

        Von:           webmaster@trojaner-info.de
        Betreff:	Trojaner-Info Newsletter <aktuelles Datum>
	      Anhang:	yawsetup.exe
        Text:

		Hallo !

		Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
		Hier die Themen im Ueberblick:

		1. YAW 2.0 - Unser Dialerwarner in neuer Version

		************************************

		1. YAW 2.0 - Unser Dialerwarner in neuer Version
		Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
		nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
		Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
		Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
		steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
                unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW!

		<http://www.trojaner-info.de/dialer/yaw.shtml>

		************************************

		Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
		bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
		angenehme Woche.

		Mit freundlichem Gruss

		Thomas Tietz & Andreas Ebert
		<http://www.trojaner-info.de>

		************************************
		Anzahl der Subscriber: 5.966
		Durchschnittliche Besuchzahl/Tag: 4.488
		Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
		Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
		abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
		diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
		entsprechende E-Mail.
		************************************

Das 'Von'-Feld kann auch die E-Mail-Adresse eines infizierten Systems enthalten (statt 'webmaster@trojaner-info.de').

Nach der Ausbreitung kann der Wurm in 1 von 10 Fällen alle Dateien von einer Festplatte löschen, auf der Windows installiert ist.

Anleitung zur Beseitigung:

Um den Wurm zu beseitigen genügt es, alle Dateien des Wurms zu löschen und alle E-Mails mit infiziertem Inhalt aus den Mail-Clients zu löschen. Da einige Dateien Zufallsnamen haben, kann z.B. F-PROT oder F-SECURE mit den neusten Updates helfen, diese zu finden und zu löschen.

Bennenen Sie NOTEDPAD.EXE zurück in NOTEPAD.EXE im Windows-Verzeichnis .

[Analyse: Analysis: Alexey Podrezov; F-Secure Corp.; Übersetzung @ntivirus-shop.com in Deutschland]