Falsk virusoppdatering er selv datavirus

Tilsynelatende kom e-posten fra Trojaner-Info.de og vedlegget YAW 2.0 skulle være antivirus. De som lot seg lure, har spredd en særdeles destruktiv orm.

Ormen som antivirusleverandørene har døpt "Yarner", "Worm/Yarner" eller "W32/YAWsetup" snakker tysk. Den smittende e-posten bærer tittelen "Trojaner-Info Newsletter Body: Hallo !". Selve meldingen begynner slik:

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.

Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

Trojaner-Info.de er en populær tjeneste, og YAW er et utbredt antivirus.

Men e-posten stammer ikke fra Trojaner-Info.de, og vedlegget yawsetup.exe har bare navnet felles med antivirusverktøyet. Den opphavelige e-postadressen er forfalsket. I stedet for å utløse en oppdateringsprosess, innleder vedlegget en smitteprosess. I kjent stil sørger ormen for å installere seg selv slik at den aktiviseres hver gang PC-en skrus på.

Så henter den inn e-postadresser fra adresseboka til Microsoft Outlook og andre kilder i Windows-katalogen. Til slutt etablerer den en forbindelse til en SMTP-server og sender seg selv ut til alle offerets e-postkontakter.

Ormen kan være svært ødeleggende. Kaspersky Lab og F-Secure opplyser at den i ett av ti tilfeller ødelegger all data og annen informasjon på offerets PC.

Til toppen