Is Yarner a Yawner?

Yarner, the latest viral threat to span the ether, is rated by some as a low threat, and others as truly serious. In any case, it pays to be vigilant. In this article, we tell you what the dangers are, what to look for, and how to manually eradicate the virus.

By Jim Freund | Posted Feb 21, 2002
Page 1 of 2
Print ArticleEmail Article
  • Share on Facebook
  • Share on Twitter
  • Share on LinkedIn

The Virus of the Week (not a designation we want to promote) is Yarner; an e-mail-borne worm that masquerades as Yet Another Warner (YAW), a legitimate German-based anti-virus solution. Of course, this Trojan is a solution that is really part of the problem.

Yarner is considered dangerous due to the damage it can inflict and how well it can propagate. However, several anti-virus specialists, including McAfee and Symantec, deem it a relatively minor threat due to the fact that it has not spread very far -- at least not yet. Several European anti-virus vendors view Yarner more severely, as it appears to be German-based and has done the most damage there. Given its capabilities, being vigilant in guarding against Yarner wherever you may be is merely common-sense.

Characteristics
The e-mail which carries the trojan appears as follows:

Subject: Trojaner-Info Newsletter [Date]
Attachment: yawsetup.exe
Message body:


Hallo ! 

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. 

Hier die Themen im Ueberblick: 

1. YAW 2.0 - Unser Dialerwarner in neuer Version 

************************************ 
1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist 
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle
unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. 
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei 
Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes 
Andreas Haak unter andreas@ants-online.de zur Verf|gung. Viel Spa_ mit YAW!

<http://www.trojaner-info.de/dialer/yaw.shtml>
************************************ 

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir 
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch
eine angenehme Woche. 

Mit freundlichem Gruss 

Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in 
unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter 
nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, 
kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns 
einfach eine entsprechende E-Mail.
************************************

Payload
Upon launching the executable, the worm renames NOTEPAD.EXE to NOTEDPAD.EXE, and then copies itself as NOTEPAD.EXE. When Notepad is run, the virus will strike and will also run the legitimate (but renamed) version.

Yarner makes another copy of itself in the Windows (or Winnt) directory using random characters and an .EXE extension, while adding a registry entry at HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\ so that the worm runs upon Windows startup.

Comment and Contribute
(Maximum characters: 1200). You have
characters left.
Get the Latest Scoop with Enterprise Networking Planet Newsletter