Win32/Netsky.Q ist unterwegs

Die inzwischen siebzehnte Variante des E-Mail-Wurms Netsky treibt seit gestern ihr Unwesen. Von befallenen Rechnern aus startet der Wurm eine DoS-Attacke gegen einige Peer-to-Peer-Anbieter.

W32/Netsky-Q alias Win32/Netsky.P kommt als Attachment in Dateien mit den Endungen .pif (Program Information File) und .zip. In der Betreffzeile sind Einträge wie "Delivery Error", "Error" oder "Server Error" zu lesen.

Der Wurm kopiert sich als SysMonXP.exe in den Windows-Ordner und legt eine DLL-Datei als firewalllogger.txt im Windows-Ordner ab. Nach Angaben von Sophos erstellt der Wurm dann den Registrierungseintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SysMonXP", so dass er beim Systemstart aktiviert wird. Wenn er von einer anderen Datei als SysMonXP im Windows-Ordner gestartet wird, versucht Netsky.Q, die Datei TEMP.EML zusätzlich zu seinem normalen Start in Notepad zu öffnen, so der Antivirenspezialist.

Auf dem infizierten Rechner verschickt sich der Wurm an Mail-Adressen, die er in Dateien mit Erweiterungen wie "txt", "php", "htm" und "html" aufspürt.

Nach Erkenntnissen von F-Secure ist der Wurm programmiert, um sich am 31. März 2004 sowie am 5., 12., 19., und 26. April 2004 zu vermehren. Zwischen dem 7. und dem 12. April 2004 plane der Wurm dann eine Denial-of-Service-Attacke gegen Tauschbörsen wie Kazaa und E-Mule.

Die Experten von F-Secure haben zudem versteckte Textpassagen im Code der Malware entdeckt. Der Netsky-Autor beziehungsweise die Autoren geben an, dem russischen "SkyNet Antivirus Team" anzugehören. Im Code sei zudem zu lesen: "We don't have any criminal inspirations [sic]. Due to many reports, we do not have any backdoors included for spam relaying".

Vor wenigen Wochen entdeckten Virenexperten versteckte Botschaften in Netsky.F, B(e)agle.K und Mydoom.H, die auf einen Krieg zwischen den Viren-Programmierern schließen ließen. Hinweise zum Entfernen des Wurms finden Sie hier bei Sophos. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads