Yarner
Aliases: I-Worm.Yarner, W32/Yarner, Win32/Yarner, W32/YAWsetup
Type: Email worm
Systems Affected: Windows 32-bit systems
Payload: Mass-mailing
ITW: Yes
Origin: Germany
Description: According to antivirus vendor F-Secure, Yarner is an e-mail worm that first appeared in the wild in Germany on 19th of February 2002. It arrives via email with the following message text in German:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verf?gung. Viel Spa? mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************

There is no affiliation between the author/distributor of the Yarner worm and the legimitate Trojaner-Info newsletter which it attempts to legitimize itself with.

If the attachment is opened, the worm copies itself with a random name to the Windows directory and creates a startup value in the RunOnce Registry key. The worm then searches for *.PHP, *.HTM, *.SHTM, *.CGI and *.PL files and looks for e-mail addresses within them. The worm also checks Outlook Address Book for e-mail addresses. The worm creates 2 files in Windows directory: KERNEI32.DAA and KERNEI32.DAS where it stores e-mail addresses and SMTP server names.

After collecting e-mail addresses the worm gets the SMTP server name from the Internet Account Manager data in the Registry and sends itself to all e-mail addresses it could find.

How to prevent it: Do not open attachments received unexpectedly even if from known senders. Most email worms take advantage of the infected user's address book, and thus email worms are most likely to be received from a known source.