The Virus of the Week (not a designation we want to promote) is Yarner; an e-mail-borne worm that masquerades as Yet Another Warner (YAW), a legitimate German-based anti-virus solution. Of course, this Trojan is a solution that is really part of the problem.
Yarner is considered dangerous due to the damage it can inflict and how well it can propagate. However, several anti-virus specialists, including McAfee and Symantec, deem it a relatively minor threat due to the fact that it has not spread very far -- at least not yet. Several European anti-virus vendors view Yarner more severely, as it appears to be German-based and has done the most damage there. Given its capabilities, being vigilant in guarding against Yarner wherever you may be is merely common-sense.
Characteristics
The e-mail which carries the trojan appears as follows:
Subject: Trojaner-Info Newsletter [Date]
Attachment: yawsetup.exe
Message body:
Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 1. YAW 2.0 - Unser Dialerwarner in neuer Version ************************************ 1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verf|gung. Viel Spa_ mit YAW! <http://www.trojaner-info.de/dialer/yaw.shtml> ************************************ Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche. Mit freundlichem Gruss Thomas Tietz & Andreas Ebert <http://www.trojaner-info.de> ************************************ Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail. ************************************
Payload
Upon launching the executable, the worm renames NOTEPAD.EXE to NOTEDPAD.EXE, and then copies itself as NOTEPAD.EXE. When Notepad is run, the virus will strike and will also run the legitimate (but renamed) version.
Yarner makes another copy of itself in the Windows (or Winnt) directory using random characters and an .EXE extension, while adding a registry entry at HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\ so that the worm runs upon Windows startup.