U našich západných "susedov" - t.j. v Nemecku, sa začiatkom tohto týždňa objavil nový vírus nazvaný Win32/Yarner, ktorý sa okrem masového rozširovania prostredníctvom priloženého súboru v rámci emailových správ vyznačuje aj dosť nebezpečnou deštruktívnou rutinou odstraňujúcou všetky súbory z pevného disku, na ktorom sa nachádza nainštalovaný OS MS Windows. V tomto prípade je povšimnutia hodná i forma rozposielanej emailovej správy s infikovaným súborom, nakoľko po jej prečítaní väčšina používateľov nadobudne dojem, že spolu s informačnou správou v nemeckom jazyku bezplatne získala pre používanie bezpečnostný softvér nazvaný YAW 2.0. Škoda len, že zo softvéru pre ochranu sa po spustení prílohy stane rýchly a účinný deštruktor... .

Počítačový vírus Win32/Yarner je naprogramovaný v programovacom jazyku Delphi, pričom kapacita jeho tela je približne 434 - 437 kB (... obsah súboru nie je interne komprimovaný). Charakteristickými prvkami pre každú emailovú správu obsahujúcu infikovanú prílohu - súbor sú textové informácie uvedené v položkách odosielateľ: Trojaner-Info [webmaster@trojaner-info.de], predmet: Trojaner-Info Newsletter 19.02.02 a obsah: Hallo ! Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. / ... / Mit freundlichem Gruss Thomas Tietz & Andreas Ebert (... posledná z menovaných položiek obsahuje dosť rozsiahly text - z úsporných dôvodov uvádzame len jeho časť). Samozrejmosťou je príloha vo forme PE EXE súboru s názvom: YAWSETUP.EXE.
K aktivácii vírusu môže dôjsť len vtedy, ak vyššie uvedený súbor manuálne spustí používateľ. Integrácia vírusu do systému prebieha v celku rýchlo - v hlavnom adresári OS MS Windows vzniká súbor s náhodne vytvoreným maximálne 100 znakov dlhým názvom a príponou .EXE (napr.: ddfEYakWBUkTRhHoIqHMZugnPTXF.EXE), ktorý je automaticky zaregistrovaný aj do systémových registrov, za účelom autoaktivácie pri ďalšom štarte OS. V ďalšej fáze vírus premenuje súbor NOTEPAD.EXE nachádzajúci sa taktiež v hlavnom adresári OS MS Windows na súbor NOTEDPAD.EXE. Pôvodný obsah súboru NOTEPAD.EXE je nahradený telom vírusu.
Okrem týchto súborov na disku vznikajú na pevnom disku infikovaného počítače ešte dva súbory: KERNEI32.DAA a KERNEI32.DAS. Prvý z nich obsahuje zoznam emailových adries, ktoré vírus nájde nielen v Address Booku aplikácie MS Outlook, ale aj v obsahoch súborov s príponami .PHP, .HTML, .SHTM, .CGI, .PL a pod.. Tieto emailové adresy sú neskôr použité ako potenciálne miesta ďalšieho šírenia sa vírusu vo forme umelo vygenerovanej a bez vedomia používateľa odoslanej emailovej správy, obsahujúcej infikovaný súbor - telo vírusu. Druhý z menovaných súborov obsahuje zoznam SMTP - emailových serverov, ktoré vírus používa pre odosielanie vytvorených správ.
Po úspešnom odoslaní všetkých infikovaných emailových správ dochádza už len k aktivácii deštruktívnej rutiny. Tá má za úlohu odstrániť z pevného disku, na ktorom sa nachádza nainštalovaný OS MS Windows všetky súbory.

Za posledných 48 hodín bolo na území Českej i Slovenskej republiky zaznamenané čiastočné rozšírenie tohto vírusu a preto odporúčame všetkým používateľom, aby v čo najkratšom čase vykonali aktualizáciu svojich AV-systémov. Pre tých, ktorým sa podarí infikovať svoj počítač vírusom Win32/Yarner skôr, ako zaktualizujú používaný AV-systém je na našom FTP serveri - t.j. sekcia Jednoúčelové AV dostupný jednoduchý, ale zato účinný AV-program pre jeho vyhľadávanie a eliminovanie.