Virenwarnung ! - Trojaner-Info.de verschickt kein "YAW 2.0"
Seit Montag den 18.02.2002 in den späteren Abendstunden hat eine uns unbekannte Person damit begonnen, E-Mails unter Angabe unserer Domain und Namen (Thomas Tietz & Andreas Ebert) mit einem Dateianhang (Name: yawsetup.exe) zu versenden.
Wir warnen jeden Empfänger davor diesen Dateianhang zu öffnen, da dieser unter Umständen den gesamten Datenbestand löschen und sich recht effektiv mittels einer Wurmfunktion verbreiten kann. Weitere Analysen liegen uns noch nicht vor. Eine kurze Schnellanalyse von Andreas Haak ist am Ende dieser Nachricht zu finden.
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW!
<http://www.trojaner-info.de/dialer/yaw.shtml>
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert <http://www.trojaner-info.de>
************************************ Anzahl der Subscriber: 5.966 Durchschnittliche Besuchzahl/Tag: 4.488 Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail. ************************************
Es ist durchaus möglich, dass diese Mails durch eine Person verschickt worden sind, die unseren Newsletter selber abonniert hat. Die Mailsignatur lässt daraus schliessen, da unsere aktuellen Statistikzahlen vom 16.02.2002 darin enthalten sind.
Lediglich der Mailtext entspricht nicht unserem Stil und wir haben während unserer langjährigen Laufbahn noch niemals Dateien an unsere Newsletterempfänger und andere Personen verschickt.
Die angehängte Datei "yawsetup.exe" rund 440 Kilobyte gross scheint nach ersten Analysen überaus aggresiv und gefährlich zu sein und erinnert stark an den ANTSET_Wurm im letzten Jahr.
Kurzanalyse von Andreas Haak:
- sieht sehr nach einer Variante von ANSET aus, gleiche Icon, teilweise ähnliche Routingen. Richtet jedoch jetzt erhebliche Schäden an.
- beschreibt das gesamte System mit "Datenmüll", löscht nach einem Zufallsprinzip das gesamte Laufwerk auf dem das Betriebssystem vorhanden ist.
- erstellt eine Liste mit Servern und Mailadressen, die es im System gefunden hat (kerneI.daa und kerneI.das)
- ersetzt notepad.exe durch eine Kopie von sich selber
- versucht sich mittels zufälliger Dateinamen zu tarnen
Zu diesem Zeitpunkt (18.02.2002 - 23:30 Uhr) sind die Ausmasse der Verbreitung noch nicht abzusehen, da wir nicht wissen, an wieviele Personen diese Mails verschickt worden sind. Doch scheint die Verbreitunsroutine recht effektiv zu sein.
Auch wurden die Mails NIE über unseren Mailaccount selber verschickt, sondern erfolgte lediglich eine Fälschung unseres Absenders.
Wir (Thomas Tietz und Andreas Ebert) haben diese Mails niemals in den Umlauf gesetzt und verbürgen uns mit unseren guten Namen, die wir im Laufe der Jahre uns erarbeitet haben.
YAW in seiner aktuellen Version 1.0 sollte nur direkt von unserer Homepage downgeloadet werden, NIEMALS über E-Mails.
