W32.Netsky.b ist im Umlauf

Die Antivirenspezialisten warnen vor dem neuen Wurm W32.Netsky.b, der sich derzeit per E-Mail weltweit verbreitet. Der Virenspezialist stuft das Schadens- und Verbreitungspotenzial der Malware als hoch ein.

Kurz nach dem Erscheinen des Bagle-Wurms Nachfolgers Bagle.b. treibt Netsky.b sein Unwesen. Trend Micro berichtet von Infektionen in Japan, Deutschland, Schweden, Großbritannien und den Niederlanden.

Der 22 KByte kleine Wurm-Code steckt wie gewohnt in einem Mail-Anhang. Um sich als ausführbare Datei unerkenntlich zu machen, weist der 22 KByte große Dateianhang eine doppelte Endung auf oder kommt als ZIP-File.

Als ersten Teil der Endung gibt TrendMicro "txt", "rtf", "doc" oder "html" an. Der zweite Teil endet mit "exe", "scr", "com" oder "pif". Der Code sei jedoch in der ZIP-Variante noch gefährlicher, da Mailanhänge mit der Endung "zip" von einigen Scannern von Mailgateways nicht als kritisch behandelt werden.

Nach ersten Analysen kopiert sich der Schädling als "services.exe" in den Windows-Ordner sowie in Verzeichnisse, deren Namen entweder "share" oder "sharing" beinhalten. Durch Eintrag in die Registry wird der Wurm bei jedem Windows-Start ausgeführt.

Er löscht laut der Analyse von Symantec zudem die Werte "Taskmon" und "Explorer" aus den entsprechenden Windows-Registrierungsschlüsseln. Ähnlich verfährt er auch mit dem Registrierungswert "KasperskyAV".

Auf dem infizierten Computer suche Netsky.b nach E-Mail-Adressen aus allen erdenklichen Dateien. Zur Vermehrung nutzt Netsky.b eine eigene SMTP-Engine. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads