W32.Netsky.B@mm

Virus-Warnung  -  Virus-Beschreibung

 

Name: W32.Netsky.B@mm
Alias: W32/Netsky.b@MM [McAfee]
W32/Netsky.B.worm [Panda]
WORM_NETSKY.B [Trend Micro]
Moodown.B [F-Secure]
I-Worm.Moodown.b [Kaspersky]
Art: Wurm
Größe des Anhangs: 22.016 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
bekannt seit: 18. Februar 2004

Beschreibung:

W32.Netsky.B@mm ist ein Massenmailing-Wurm. Er verbreitet sich mit einer eigenen SMTP-Maschine per E-Mail-Nachricht und über freigegebene Laufwerke.
Der Wurm wird durch die Ausführung der angehängten Datei aktiviert.

Die E-Mail hat folgende Charakteristik (Beispiel):

Beispiel der E-Mail. Betreff und Inhalt sind nachstehend aufgeführt.

Von: <gefälschte Adresse>

Betreff:

hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

Nachricht:

anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

Name des Anhangs:

document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
 

Der Anhang hat zwei Erweiterungen. Erstens:

.txt
.rtf
.doc
.htm
 

Die zweite Erweiterung lautet:

.exe
.scr
.com
.pif
 

Größe des Anhangs: 22.016 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt, .eml

Der Wurm kopiert sich im infizierten System mehrfach unter %windir%\services.exe

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service" = "%windir%\services.exe -serv"

wird Netsky.B beim Rechnerstart aktiviert.

Netsky.B kopiert sich mit folgenden Dateinamen in Netzfreigaben, die die Worte Share oder Sharing enthalten:

doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

Weiterhin werden von dem Wurm mehrere Registrierungsschlüssel gelöscht. Dabei handelt es sich um Schlüssel, die zum Wurm Mydoom.A und Mydoom.B gehören.

Entfernung des Wurms Netsky.B

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
 

Symantec (FxNeskyB.exe): Direkt-Download externer Link oder Download mit englischer Beschreibung externer Link
NAI (Stinger.exe): Direkt-Download externer Link oder Download mit englischer Beschreibung externer Link





Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn 



 































                  		

 





 





	

	

		

			
			

			
			Zurück blättern

			
			

			
			HOME - Prommersberger EDV-ORGANISATION

			
			

			
			Vorwärts blättern

		

		

			

			

			
			(c) PROKA

			EDV-ORGANISATION

			PROMMERSBERGER

			
			22.11.2011