Web

 

W32/Yaha-E: VORSICHT, neuer Wurm!

20.06.2002

MÜNCHEN (COMPUTERWOCHE) - Mehrere Anbieter von Antivirensoftware warnen vor dem neuen Mail-Wurm "W32/Yaha-E". Der Schädling verfügt über einen eigenen SMTP-Client und verwendet entweder einen Mailserver aus der Windows-Registrierung oder aus einer internen Liste. Die vom Wurm gesendete Mail variiert sehr stark. Der Text beginnt aber entweder mit: "Hi - Check the Attachment... - See u", "Attached one Gift for u..." oder "wOW CHECK THIS". Der Rest der Botschaft ähnelt einer weitergeleiteten E-Mail. Angehängt ist eine Datei mit unterschiedlichen Namen und Endungen. Eine Kopie des Attachments wird im Base64-Format im Ordner C:\Windows\Temp mit dem Dateinamen "kitkat" deponiert.

Der Wurm erstellt ferner eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLM\exefile\shell\open\command\default" hinzugefügt. Im Windows-Ordner werden zwei Dateien erstellt, und zwar je eine .DLL- und .TXT-Datei mit dem Namen der Wurmkopie. W32/Yaha-E versucht, eventuell vorhandene Sicherheitssoftware zu deaktivieren. Wenn er erstmalig startet, imitiert er einen Bildschirmschoner. (tc)