W32.Netsky.D@mm
Virus-Warnung - Virus-Beschreibung
| Name: | W32.Netsky.D@mm |
| Alias: | WORM_NETSKY.D [Trend] W32/Netsky.d@MM [NAI] W32/Netsky.D.worm [Panda] W32/Netsky-D [Sophos] I-Worm.Netsky.d [Kaspersky] |
| Art: | Wurm |
| Größe des Anhangs: | 17.424 Bytes |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing |
| Verbreitung: | hoch |
| Risiko: | mittel |
| Schadensfunktion: | Massenmailing |
| Spezielle Entfernung: | Tool |
| bekannt seit: | 01.03.2004 |
Beschreibung:
W32.Netsky.D@mm ist ein Massenmailing-Wurm. Er
verbreitet sich wie seine Vorgänger Netsky.B und
Netsky.C mit einer
eigenen SMTP-Maschine
per E-Mail-Nachricht.
Der Wurm wird durch die Ausführung der angehängten Datei aktiviert.
Die E-Mail hat folgende Charakteristik (Beispiel):
Von: <gefälschte Adresse>
Betreff:
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Nachricht:
Your document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file
Please read the attached file.
Your file is attached.
Name des Anhangs:
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Größe des Anhangs: 17.424 Bytes
Aktionen des Wurm:
Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:
.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html,
.msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, .wab
Der Wurm kopiert sich im infizierten System mehrfach unter %windir%\Winlogon.exe
Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält.
Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir%
enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und
C:\Windows bei Windows XP.
Mit dem Registrierungs-Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ Net" = "%windir%\winlogon.exe -stealth"
wird Netsky.D beim Rechnerstart aktiviert.
Weiterhin werden von dem Wurm mehrere Registrierungsschlüssel gelöscht.
Dabei handelt es sich um Schlüssel, die u.
a. zum Wurm Mydoom.A und Mydoom.B und Mimail.T gehören.
Am Dienstag, den 02.03.2004 piepst der PC-Lautsprecher in der Zeit zwischen 6:00 und 9:00 Uhr in unterschiedlichen Frequenzen.
Entfernung des Wurms Netsky (Variante B, C und D)
Bei den Betriebssystemen Windows ME oder XP, muß vor der
Entfernung die
Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus
gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP
Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine
Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstoools
und durchsuchen Sie damit den Computer.
Symantec (FxNetsky.exe):
Direkt-Download
oder
Download mit englischer Beschreibung
NAI (Stinger.exe):
Direkt-Download
oder
Download mit englischer Beschreibung
(Stinger meldet Netsky.D als W32/Netsky.c@MM)
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
