W32.Netsky.P@mm

Virus-Warnung  -  Virus-Beschreibung

 

Name: W32.Netsky.P@mm
Alias: W32.Netsky.Q@mm, W32/Netsky.p@MM [McAfee], Win32.Netsky.P [Computer Associates], NetSky.P [F-Secure], W32/Netsky.P.worm [Panda], W32/Netsky-P [Sophos], WORM_NETSKY.P [Trend]
Art: Wurm
Größe des Anhangs: 29.568 Bytes
Betriebssystem: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Art der Verbreitung: Massenmailing, Schwachstelle, Tauschbörse
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
bekannt seit: 21.03.2004

Beschreibung:

W32.Netsky.P@mm ist ein Massenmailing-Wurm. Er verbreitet sich wie seine Vorgänger mit einer eigenen SMTP-Maschine per E-Mail-Nachricht. Weiterhin verbreitet er sich über Tauschbörsen und durch Ausnutzung einer älteren Schwachstelle im Internet Explorer (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment externer Link), bei der er beim Lesen der E-Mail-Nachricht automatisch aktiviert wird. Betroffen sind die ungepatchten Versionen des Internet Explorer 5.01 und 5.5.

Ohne die genannte Schwachstelle wird der Wurm durch die Ausführung der angehängten Datei aktiviert.

Die E-Mail hat folgende Charakteristik (Beispiel):

E-Mail Netsky.K Beschreibung im nachfolgenden Text

Von: <gefälschte Adresse>

Betreff: (Auswahl)

Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification
Mail Delivery (failure <Adresse>)

Nachricht: (Auswahl)

Please see the attached file for details
Please read the attached file!
Your document is attached.
Please read the document.
Your file is attached.
Your document is attached.
Please confirm the document.
Please read the important document.
See the file.
Requested file.
Authentication required.
Your document is attached to this mail.
I have attached your document.
I have received your document. The corrected document is attached.
Your document.
Your details.

möglicherweise gefolgt von:

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: No Virus found
+++ Bitdefender AntiVirus - www.bitdefender.com

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

Name des Anhangs: (Auswahl)

document05
websites03
game_xxo
your_document

gefolgt von :

.txt
.doc

gefolgt von einer der folgenden Erweiterungen:

.exe
.pif
.scr
.zip
 

Größe des Anhangs: 29.568 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .jsp, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, .wab, .wsh, .xml
 

Infektion des Systems

Der Wurm kopiert sich im infizierten System mehrfach unter:

%windir%\FVProtect.exe
%windir%\userconfig9x.dll
%windir%\base64.tmp
%windir%\zip1.tmp
%windir%\zip2.tmp
%windir%\zip3.tmp
%windir%\zipped.tmp

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Antivirus AV"="%Windir%\FVProtect.exe"

wird Netsky.P beim Rechnerstart aktiviert.

Weiterhin werden von dem Wurm mehrere Registrierungsschlüssel gelöscht. Dabei handelt es sich um Schlüssel, die u.a. zum Wurm Mydoom.A und Mydoom.B gehören.

Verbreitung über Tauschbörsen

Netsky.K sucht auf dem infizierten Computer nach Verzeichnisnamen, die folgende Zeichenketten enthalten:

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload

In diese Verzeichnisse kopiert sich der Wurm mit einem der folgenden Dateinamen:

1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe

 

Entfernung des Wurms Netsky

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.
 

Symantec (FxNetsky.exe) Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

 





Quelle:

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn 



 































                  		

 





 





	

	

		

			
			

			
			Zurück blättern

			
			

			
			HOME - Prommersberger EDV-ORGANISATION

			
			

			
			Vorwärts blättern

		

		

			

			

			
			(c) PROKA

			EDV-ORGANISATION

			PROMMERSBERGER

			
			22.11.2011