"Лаборатория Касперского" сообщает об обнаружении опасного червя Yarner, распространяющегося в виде файлов, прикрепленных к электронным письмам. Червяк является Windows-приложением, и имеет весьма солидные для вредоносной программы размеры - 434 Кбайта. Написан на Delphi.

Зараженные письма содержат в поле "From:" либо настоящий адрес отправителя, либо ложный адрес:

Trojaner-Info [%TrueEmail%] или Trojaner-Info [webmaster@trojaner-info.de]
Имя вложения: yawsetup.exe
Тема письма: Trojaner-Info Newsletter и указание даты.

В теле письма - длинный текст на немецком, начинающийся со слов:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite
Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und...

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

При инсталляции Yarner копирует себя со случайным именем (до 100 символов) в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра.

Червь также в каталоге Windows переименовывает файл NOTEPAD.EXE в имя NOTEDPAD.EXE и замещает "настоящий" NOTEPAD.EXE своей копией.

Червь также создаёт два дополнительных файла в каталоге Windows - kerneI32.daa, куда он записывает адреса электронной почты и kerneI32.das, куда записываются адреса известных червю SMTP-серверов. При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Адреса, по которым рассылаются письма, определяются либо считыванием всех адресов из адресной книги MS Outlook, либо поиском в каталоге
Windows и подкаталогах строк-адресов в файлах с расширениями .PHP, .HTM, .SHTM, .CGI, .PL

После рассылки писем с вероятностью 1/10 червь уничтожает все файлы на диске, на котором установлена Windows.