Summary
Summary
Action- More Information
| Included in our products from | April 2002 (3.56) |
|---|---|
| Detected by | All Sophos products |
Action
- Summary
- Action
- More Information
Please follow the instructions for removing worms.
Rename notedpad.exe in the Windows folder to notepad.exe.
Windows NT/2000/XP
In Windows NT/2000/XP you will also need to edit the following registry entry for each user who ran the virus. The removal of this entry is optional in Windows 95/98/Me. Please read the warning about editing the registry.
At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export Range' panel, click 'All', then save your registry as Backup.
Each user has a registry area named HKEY_USERS\[code number indicating user]\. For each user locate the entry:
HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Runonce
and remove any reference to any file you deleted.
Close the registry editor.
More Information
W32/Yarner is a family of internet worms which use their own SMTP routines to send email messages.
The worms attempt to send themselves to email addresses found on infected machines and in the Microsoft Windows address book.
The email will have the following characteristics:
Subject: Trojaner-Info Newsletter <Date>
Attachment: yawsetup.exe
Message body:
Hallo !
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
************************************
1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle
unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW!
<http://www.trojaner-info.de/dialer/yaw.shtml>
************************************
Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch
eine angenehme Woche.
Mit freundlichem Gruss
Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>
************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter
nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach
eine entsprechende E-Mail.
************************************
W32/Yarner renames notepad.exe in the Windows directory to notedpad.exe and copies itself to notepad.exe. It creates a randomly named file with an .EXE extension in the Windows directory and changes the registry key
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Runonce\<worm filename>
so that the worm file runs on Windows startup.
After a period of running on the system, the worm executes its destructive payload and attempts to delete all files from the hard drive.
|
