Need help? Ask the community or hire an expert.
Go to Avira Answers
Alias:
Type:Worm 
Size:437.760 Bytes 
Origin: 
Date:02-26-2002 
Damage:Sent by email. 
VDF Version:6.23.00.00 
Danger:Low 
Distribution:Medium 

DistributionThe worm searches the hard drive for files of type *.htm, *.php, *.cgi, *.pl, *.shtm and gathers email addresses from them. Then, the worm sends itself to all collected addresses and to the addresses found in Microsoft Outlook. The worm is disguised as a newsletter from www.trojaner-info.de.
The email's structure:

From: webmaser@trojaner-info.de
Subject: Trojaner-Info Newsletter 19.02.2002
Body: Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 1. YAW 2.0 - Unser Dialerwarner in neuer Version ************************************ 1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfgung. Viel Spa mit YAW! ************************************ Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche. Mit freundlichem Gruss Thomas Tietz & Andreas Ebert ************************************ Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail. ************************************
Attachment: yawsetup.exe

Technical DetailsWhen the attachment is opened, the worm is copied into a random file in Windows directory.
The worm makes the following registry entry, for automatic start:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]"%randomname%"= "\"C:\\WINDOWS\\%randomname%\""
Then, the worm renames the file Notepad.exe from Windows directory into Notedpad.exe and replaces the Notepad.exe file with a copy of its viral code.

Afterwards, the worm starts to search the hard drive for files with the extension
*.htm, *.php, *.cgi, *.pl, *.shtm. It collects email addresses from these files and sends itself to all addresses found, including all entries in Microsoft Outlook Addresses.
설명 삽입자 Crony Walker   2004년 6월 15일 화요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.