Die DEUTSCHEN Trojaner-Seiten
 
Home
Virenwarnung ! - Trojaner-Info.de verschickt kein "YAW 2.0"

Seit Montag den 18.02.2002 in den späteren Abendstunden hat eine uns unbekannte Person damit begonnen, E-Mails unter Angabe unserer Domain und Namen (Thomas Tietz & Andreas Ebert) mit einem Dateianhang (Name: yawsetup.exe) zu versenden.

Wir warnen jeden Empfänger davor diesen Dateianhang zu öffnen, da dieser unter Umständen den gesamten Datenbestand löschen und sich recht effektiv mittels einer Wurmfunktion verbreiten kann. Weitere Analysen liegen uns noch nicht vor. Eine kurze Schnellanalyse von Andreas Haak ist am Ende dieser Nachricht zu finden.

Die E-Mails tragen folgende Mermale:

Absender: Trojaner-Info<webmaster@trojaner-info.de>
Betreff: Trojaner-Info Newsletter 18.02.02
Dateianhang: "yawsetup.exe" (rund 440 Kilobyte)
Mailtext:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version


************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist
nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere
Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verfügung. Viel Spaß mit YAW!

<https://www.trojaner-info.de/dialer/yaw.shtml>

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir
bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine
angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert
<https://www.trojaner-info.de>


************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer
Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber
abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du
diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine
entsprechende E-Mail.
************************************

Es ist durchaus möglich, dass diese Mails durch eine Person verschickt worden sind, die unseren Newsletter selber abonniert hat. Die Mailsignatur lässt daraus schliessen, da unsere aktuellen Statistikzahlen vom 16.02.2002 darin enthalten sind.

Lediglich der Mailtext entspricht nicht unserem Stil und wir haben während unserer langjährigen Laufbahn noch niemals Dateien an unsere Newsletterempfänger und andere Personen verschickt.

Die angehängte Datei "yawsetup.exe" rund 440 Kilobyte gross scheint nach ersten Analysen überaus aggresiv und gefährlich zu sein und erinnert stark an den ANTSET_Wurm im letzten Jahr.

Kurzanalyse von Andreas Haak:

- sieht sehr nach einer Variante von ANSET aus, gleiche Icon, teilweise ähnliche Routingen. Richtet jedoch jetzt erhebliche Schäden an.

- beschreibt das gesamte System mit "Datenmüll", löscht nach einem Zufallsprinzip das gesamte Laufwerk auf dem das Betriebssystem vorhanden ist.

- erstellt eine Liste mit Servern und Mailadressen, die es im System gefunden hat (kerneI.daa und kerneI.das)

- ersetzt notepad.exe durch eine Kopie von sich selber

- versucht sich mittels zufälliger Dateinamen zu tarnen

Zu diesem Zeitpunkt (18.02.2002 - 23:30 Uhr) sind die Ausmasse der Verbreitung noch nicht abzusehen, da wir nicht wissen, an wieviele Personen diese Mails verschickt worden sind. Doch scheint die Verbreitunsroutine recht effektiv zu sein.

Auch wurden die Mails NIE über unseren Mailaccount selber verschickt, sondern erfolgte lediglich eine Fälschung unseres Absenders.

Wir (Thomas Tietz und Andreas Ebert) haben diese Mails niemals in den Umlauf gesetzt und verbürgen uns mit unseren guten Namen, die wir im Laufe der Jahre uns erarbeitet haben.

YAW in seiner aktuellen Version 1.0 sollte nur direkt von unserer Homepage downgeloadet werden, NIEMALS über E-Mails.


Mit freundlichen Grüssen

Thomas Tietz & Andreas Ebert
trojaner-info.de

(tt) 19.02.2002