English
Deutsch
Español
Italian
Home
Virus Info
W32/YAWsetup
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
W32/YAWsetup - Malware
See also
Summary
Full description
Statistics
How would you rate this information?
Worthless
Excellent
Alias:
Type:
Worm
Size:
437.760 Bytes
Origin:
Date:
02-26-2002
Damage:
Sent by email.
VDF Version:
6.23.00.00
Danger:
Low
Distribution:
Medium
Distribution
The worm searches the hard drive for files of type *.htm, *.php, *.cgi, *.pl, *.shtm and gathers email addresses from them. Then, the worm sends itself to all collected addresses and to the addresses found in Microsoft Outlook. The worm is disguised as a newsletter from www.trojaner-info.de.
The email's structure:
From: webmaser@trojaner-info.de
Subject: Trojaner-Info Newsletter 19.02.2002
Body: Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 1. YAW 2.0 - Unser Dialerwarner in neuer Version ************************************ 1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW! ************************************ Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche. Mit freundlichem Gruss Thomas Tietz & Andreas Ebert ************************************ Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail. ************************************
Attachment: yawsetup.exe
Technical Details
When the attachment is opened, the worm is copied into a random file in Windows directory.
The worm makes the following registry entry, for automatic start:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]"%randomname%"= "\"C:\\WINDOWS\\%randomname%\""
Then, the worm renames the file Notepad.exe from Windows directory into Notedpad.exe and replaces the Notepad.exe file with a copy of its viral code.
Afterwards, the worm starts to search the hard drive for files with the extension
*.htm, *.php, *.cgi, *.pl, *.shtm. It collects email addresses from these files and sends itself to all addresses found, including all entries in Microsoft Outlook Addresses.
See a brief description
here
.
Description inserted by Crony Walker on Tue, 15 Jun 2004 14:00 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/KillAV.GR
Worm/Mytob.AP
Worm/Mytob.AT
TR/Crypt.PEPM.Gen
TR/Vundo.ewz.9
TR/Monderb.318720
Worm/IrcBot.39673.1
TR/PSW.Steam.DU
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Print this page
.gif)
