Web

 

Netsky.Q attackiert Online-Tauschbörsen

30.03.2004

Seit Montag verbreitet sich die Variante "Q" des Wurms "Netsky". Wie die Vorversion "Netsky.P" verbreitet er sich über E-Mail-Anhänge mit den Dateiendungen ".exe", ".pif", .scr" oder ".zip" und sammelt E-Mail-Adressen aus lokal gespeicherten Dateien. Außerdem versucht die neue Wurmvariante ebenfalls eine seit drei Jahren bekannte Sicherheitslücke in den Internet-Explorer-Versionen 5.01 und 5.5 auszunutzen (Computerwoche.de berichtete).

Die Betreffzeile infizierter E-Mails wird automatisch generiert und kann zum Beispiel "Deliver Mail", "Delivered Message", "Delivery Failure" oder "Server Error" lauten. Auch der Nachrichtentext will vorgaukeln, dass eine E-Mail nicht korrekt zugestellt werden konnte.

Einmal ausgeführt, kopiert sich die 28.008 Byte große Schadroutine unter der Bezeichnung "SysMonXP.exe" in das Windows-Verzeichnis. Eine 23.040 Byte große Bibliothek wird mit dem Namen "Firewalllogger.txt" ebenfalls angelegt. Diese Datei enthält Virenexperten zufolge eine Engine zum Versenden von Massen-Mails.

In der Registry verewigt sich Netsky.Q im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", der den Schädling bei jedem Windows-Start aktiviert. Einträge wie "msgsvr32", "winupd.exe", "d3dupdate.exe", "Taskmon", "Windows Services Host" und "sysmon.exe" werden dagegen gelöscht.

Auf befallenen Rechnern finden sich außerdem die temporären Dateien "base64.tmp", "zippedbase64.tmp", "zipo0.txt", "zipo1.txt", "zipo2.txt" und "zipo3.txt", die ebenfalls Netsky-Code enthalten. Der Wurm startet zwischen dem 8. und 11. April 2004 DoS-Attacken (Denial of Service) gegen die Online-Tauschbörsen Edonkey2000, Kazaa und Emule-Project sowie gegen die Cracker-Sites Cracks.am und Cracks.st.

Kostenlose Removal-Tool sind bei Symantec und Network Associates zu haben. (lex)