Gefährlicher Yaha-Wurm tritt in die Fußstapfen von Klez.H

Der Wurm Yaha.E übertrumpft in der Gerissenheit den Wurm Klez.H

Wie zahlreiche Antiviren-Hersteller warnen, verbreitet sich der Wurm Yaha.E rasant im Internet und nutzt die gleiche Sicherheitslücke im Internet Explorer wie der Wurm Klez.H zur automatischen Ausführung des Wurms. Außerdem durchsucht der Yaha-Wurm lokale Dateien nach E-Mail-Adressen und deaktiviert laufende Virenscanner. Immerhin bleibt als kleiner Trost, dass Yaha.E die Absenderadressen der E-Mails nicht fälscht, so dass befallene Anwender darüber informiert werden können.

Artikel veröffentlicht am ,

Der Wurm Yaha.E versendet sich mit eigener SMTP-Engine per E-Mail unter ständig wechselnden Betreffzeilen und Nachrichtentexten, so dass er daran nicht ohne weiteres erkannt werden kann. Der Wurm-Code steckt im Mail-Anhang, wechselt ständig die Dateinamen- und endungen und tarnt sich zudem mit doppelten Dateiendungen. Um möglichst unbehelligt seiner Arbeit nachzugehen, beendet er viele Virenscanner auf einem laufenden System. Ganz nebenbei schmeißt er auch vorhandene Klez- oder SirCam-Viren raus, so dass er auf dem befallenen System ganz alleine wüten kann.

Stellenmarkt
  1. Technical Consultant Industrie 4.0 (m/w/d)
    Kräuter-Mix GmbH, Abtswind
  2. M365 Administrator (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
Detailsuche

Wie auch der Wurm Klez.H nutzt er eine anscheinend bei vielen Anwendern immer noch nicht geschlossene Sicherheitslücke im Internet Explorer 5.0 und 5.5, für die seit über einem Jahr ein passender Patch bereitsteht. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn dann der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender automatisch ausgeführt wird und damit den eigenen Rechner infiziert.

Wird also der Wurm bewusst oder unbemerkt ausgeführt, kopiert er sich mit einem zufälligen Dateinamen in das Papierkorb-Verzeichnis C:\Recycler oder C:\Recycled und imitiert einen Bildschirmschoner. Ist keines davon vorhanden, legt sich der Yaha-Wurm im Windows-Verzeichnis ab. Anschließend trägt er sich so in die Registry ein, dass der Wurm bei jedem Aufruf einer Exe-Datei gestartet wird. Außerdem sorgt die Wurm-Routine dafür, dass dieser Eintrag ständig aktualisiert wird, so dass eine Veränderung der Registry erfolglos bleibt. Die gleiche Routine versucht, den Windows Task Manager zu beenden, obgleich der Wurm darin gar nicht erscheint, weil er sich bei jedem Rechner-Neustart als Service startet.

Für eine effektive Verbreitung durchsucht der Wurm zahlreiche Quellen nach gültigen E-Mail-Adressen. Dazu gehören neben dem Outlook-Adressbuch auch die Daten aus dem .NET-Messenger, dem Yahoo! Messenger sowie ICQ. Außerdem werden alle Dateien mit den Endungen .html, .doc und .txt nach E-Mail-Adressen durchforstet. Alle gefundenen Adressen legt der Wurm im Windows-Verzeichnis als DLL-Datei mit wechselndem Dateinamen ab.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
Weitere IT-Trainings

Die meisten Hersteller von Antiviren-Software haben ihre Signaturen bereits aktualisiert und bieten diese zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Gizzmo 21. Jun 2002

Damit diese Würmer ausgeführt werden können, müssen sie erstmal in einem temporären...

AV@pro-support.de 21. Jun 2002

Bitdefender veroeffentlichte am 20.06. ein kleines Tool, was auch von sauberen Boot...



Aktuell auf der Startseite von Golem.de
Garmin Fenix 7 im Test
Outdoor-Wearable mit fast allem Drin und Dran

Eine weitere Funktionslücke ist geschlossen: Nun hat auch die Garmin Fenix 7 einen Touchscreen - und noch mehr Akkulaufzeit.
Von Peter Steinlechner

Garmin Fenix 7 im Test: Outdoor-Wearable mit fast allem Drin und Dran
Artikel
  1. Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
    Musterfeststellungsklage
    Parship kann eine Kündigungswelle erwarten

    Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

  2. Coronapandemie: Bayern und Sachsen-Anhalt steigen aus Luca aus
    Coronapandemie
    Bayern und Sachsen-Anhalt steigen aus Luca aus

    Immer mehr Länder wollen die Luca-App nicht mehr nutzen. Bayern will verstärkt auf die Corona-Warn-App setzen.

  3. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB für 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Alternate (u.a. Razer Gaming-Maus 39,99€) • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari-Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /