W32.Netsky.b ist im Umlauf
Kurz nach dem Erscheinen des Bagle-Wurms Nachfolgers Bagle.b. treibt Netsky.b sein Unwesen. Trend Micro berichtet von Infektionen in Japan, Deutschland, Schweden, Großbritannien und den Niederlanden.
Der 22 KByte kleine Wurm-Code steckt wie gewohnt in einem Mail-Anhang. Um sich als ausführbare Datei unerkenntlich zu machen, weist der 22 KByte große Dateianhang eine doppelte Endung auf oder kommt als ZIP-File.
Als ersten Teil der Endung gibt TrendMicro "txt", "rtf", "doc" oder "html" an. Der zweite Teil endet mit "exe", "scr", "com" oder "pif". Der Code sei jedoch in der ZIP-Variante noch gefährlicher, da Mailanhänge mit der Endung "zip" von einigen Scannern von Mailgateways nicht als kritisch behandelt werden.
Nach ersten Analysen kopiert sich der Schädling als "services.exe" in den Windows-Ordner sowie in Verzeichnisse, deren Namen entweder "share" oder "sharing" beinhalten. Durch Eintrag in die Registry wird der Wurm bei jedem Windows-Start ausgeführt.
Er löscht laut der Analyse von Symantec zudem die Werte "Taskmon" und "Explorer" aus den entsprechenden Windows-Registrierungsschlüsseln. Ähnlich verfährt er auch mit dem Registrierungswert "KasperskyAV".
Auf dem infizierten Computer suche Netsky.b nach E-Mail-Adressen aus allen erdenklichen Dateien. Zur Vermehrung nutzt Netsky.b eine eigene SMTP-Engine. (bsc)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Client Server |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |