Wurm "Yaha" als Wiedergänger

Antiviren-Firmen warnen vor einer neuen Variante des "Yaha"-Wurms, die sich seit Weihnachten mit dynamischer Tendenz verbreitet.

"Yaha" war zuerst im Februar 2002 aufgetaucht und hat es in den Virenjahrencharts immerhin auf Platz zwei gebracht.

Die Variante "Yaha.K" scheint jetzt leicht modifiziert einen ähnlichen Siegszug anzutreten. Bisher wurde der Wurm in über 100 Ländern gesichtet, am stärksten betroffen sind derzeit Großbritannien und die Niederlande.

"Yaha.K"

Das Orginal

"Yaha" ähnelt dem "Klez"-Wurm und verfügt über einen eigenen SMTP-Client. Er durchsucht die Windows-Registry nach einem SMTP-Server, bringt aber auch eine eigene Serverliste mit.

Angehängt ist eine Datei mit unterschiedlichen Namen und Endungen. Eine Kopie des Attachments deponiert der Schädling im Ordner C:\Windows\Temp unter dem Dateinamen "kitkat".

Der Wurm erstellt ferner eine Kopie von sich im Windows-Papierkorb mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLM\exefile\shell\open\command\default" hinzugefügt. Im Windows-Verzeichnis werden zwei Dateien erstellt - je eine .DLL- und .TXT-Datei -, die den Namen der Wurmkopie tragen. "W32/Yaha-E" versucht eventuell vorhandene Sicherheitssoftware zu deaktivieren. Wenn er erstmalig startet, imitiert er einen Bildschirmschoner.