Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Szkodnik jest plikiem PE EXE o rozmiarze 434 KB, stworzonym przy użyciu środowiska programistycznego Delphi.

W polu "od" zainfekowanych wiadomości widnieją adresy oryginalnych nadawców lub fikcyjne kontakty, które mogą wyglądać następująco:

Od: Trojaner-Info [webmaster@trojaner-info.de]

Pozostałe informacje znajdujące się w zainfekowanych wiadomościach wyglądają następująco:

Załączony plik: yawsetup.exe
Temat: Trojaner-Info Newsletter %CurrentDate%

Treść:

Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter. Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak unter andreas@ants-online.de zur Verf?gung. Viel Spa- mit YAW!

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine

angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik. W takim przypadku robak instaluje się w systemie i uruchamia procedurę rozprzestrzeniającą oraz dodatkową.

Instalacja

Podczas instalacji robak kopiuje się do katalogu Windows z losową nazwą składającą się maksymalnie ze 100 losowych symboli oraz z rozszerzenia EXE. Dla kopii tej tworzony jest klucz auto-run w rejestrze systemowym:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce
%LosowyTekst% = %NazwaRobaka%

gdzie %NazwaRobaka% jest nazwą kopii wirusa, natomiast %LosowyTekst% to kolejny ciąg skladający się maksymalnie ze 100 losowych symboli, przykładowo:

ddfUdEDshaSEYadkWBUdFrnKlFWReyHQpTWCqMkkTRhHo
IqHMZugxnPTXF.exe

Następnie robak zmienia nazwę pliku NOTEPAD.EXE znajdującego się w katalogu Windows na NOTEDPAD.EXE i umieszcza swoją kopię w miejscu oryginalnego pliku.

Wirus tworzy również dwa dodatkowe pliki w katalogu Windows: kerneI32.daa oraz kerneI32.das.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z domyślnym serwerem SMTP.

Szkodnik pobiera adresy "ofiar" na dwa sposoby. Po pierwsze uzyskuje dostęp do książki adresowej programu MS Outlook i pobiera adresy do wszystkich zapisanych w niej użytkowników. Następnie wirus skanuje wszystkie pliki .PHP, .HTM, .SHTM, .CGI, .PL zapisane we wszystkich podkatalogach folderu Windows i pobiera z nich adresy e-mail.

Procedura dodatkowa

Po zakończeniu wysyłania zainfekowanych wiadomości robak w jednym przypadku na dziesięć usuwa wszystkie pliki z dysku, na którym zainstalowany jest system Windows.