Sie sind nicht angemeldet.

Virenwarnung: W32.Netsky.AB@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Sledge_Hammer

Ex- Sledge Hammer

  • »Sledge_Hammer« ist der Autor dieses Themas

Beiträge: 5 610

Wohnort: wilder süden

  • Nachricht senden

1

Freitag, 30. April 2004, 10:57

W32.Netsky.AB@mm

Zitat


Name: W32.Netsky.AB@mm
Alias:

W32/Netsky-AB [Sophos]
W32/Netsky.ab@MM [McAfee]
WORM_NETSKY.AB [Trend]
Win32.Netsky.AB [Computer Associates]
I-Worm.Netsky.ac [Kaspersky]
Art: Wurm
Größe des Anhangs: 17.920 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
bekannt seit: 28.04.2004

Beschreibung:

W32.Netsky.AB@mm ist ein Massenmailing-Wurm. Er verbreitet sich mit einer eigenen SMTP-Maschine per E-Mail-Nachricht.

Der Wurm wird durch die Ausführung der angehängten Datei aktiviert.

Die E-Mail hat folgende Charakteristik:

Von: <gefälschte Adresse>

Betreff:

Correction
Hurts
Privacy
Password
Wow
Criminal
Pictures
Text
Money
Stolen
Found
Numbers
Funny
Only love?
More samples
Picture
Letter
Question
Illegal

Nachricht:

Please use the font arial!
How can I help you?
Still?
I've your password. Take it easy!
Why do you show your body?
Hey, are you criminal?
Your pictures are good!
The text you sent to me is not so good!
True love letter?
Do you have no money?
Do you have asked me?
I've found your creditcard. Check the data!
Are your numbers correct?
You have no chance...
Wow! Why are you so shy?
Do you have more samples?
Do you have more photos about you?
Do you have written the letter?
Does it hurt you?
Please do not sent me your illegal stuff again!!!

Name des Anhangs:

corrected_doc.pif
hurts.pif
document1.pif
passwords02.pif
image034.pif
myabuselist.pif
your_picture01.pif
your_text01.pif
your_letter.pif
your_bill.pif
my_stolen_document.pif
visa_data.pif
pin_tel.pif
your_text.pif
loveletter02.pif
all_pictures.pif
your_letter_03.pif
your_picture.pif
abuses.pif

Größe des Anhangs: 17.920 Bytes

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

.a , .ad, .adb, .as, .asp, .c, .cf, .cfg, .cg, .cgi, .d, .db, .dbx, .dh, .dht, .dhtm, .do, .doc, .e, .em, .eml, .h, .ht, .htm, .html, .j, .js, .jsp, .m, .mb, .mbx, .md, .mdx, .mh, .mht, .mm, .mmf, .ms, .msg, .n, .nc, .nch, .o, .od, .ods, .of, .oft, .p, .ph, .php, .pl, .pp, .ppt, .r, .rt, .rtf, .s, .sh, .sht, .shtm, .st, .stm, .t, .tb, .tbb, .tx, .txt, .u, .ui, .uin, .v, .vb, .vbs, .w, .wa, .wab, .ws, .wsh, .x, .xl, .xls, .xm, .xml

Er versendet sich nicht an Adressen, die folgende Wortteile enthalten:

iruslis
antivir
sophos
freeav
andasoftwa
skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft

Der Wurm kopiert sich im infizierten System unter %Windir%\csrss.exe.

Hinweis:
%windir% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Mit dem Registrierungs-Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BagleAV"="%Windir%\csrss.exe"

wird Netsky.AB beim Rechnerstart aktiviert.

Weiterhin werden von dem Wurm mehrere Registrierungsschlüssel gelöscht. Dabei handelt es sich um Schlüssel, die u. a. zum Wurm Beagle gehören.

Entfernung des Wurms Netsky

Bei den Betriebssystemen Windows ME oder XP, muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muss der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Symantec (FxNetsky.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 29.04.2004)



quelle: bsi
Eingeschränkter Winterdienst. Betreten auf eigene Gefahr!


Dieser Beitrag wird 155 mal editiert werden, das letzte Mal von Sledge_Hammer: 05.08.2012, 10:37.