Web

 

Schon wieder ein Wurm: "Netsky" kriecht durchs Netz

19.02.2004

MÜNCHEN (COMPUTERWOCHE) - Nachdem Antivirenexperten am Dienstag vor dem E-Mail-Wurm "Bagle.B" warnten (Computerwoche.de berichtete), schlagen sie heute noch einmal Alarm. "Netsky" alias "Moodown.B" heißt der neu entdeckte Schädling, der sich via E-Mail verbreitet.

Einmal im System festgesetzt, versucht die Schadroutine, installierte Antivirensoftware auszuhebeln, E-Mail-Adressen auszuspionieren und sich selbst auf freigegbene Netzlaufwerke zu kopieren. Infizierte E-Mails tragen ein zufällig generiertes Subject wie "something for you", "hello" oder "fake". Der Schädling verbirgt sich in einem angehängten ZIP-Archiv, das eine ebenfalls willkürlich gewählte Bezeichnung wie "document", "stuff" oder "party" trägt. Nach Angaben des Antiviren-Hersteller TruSecure sind aber auch Attachment-Extensions ausführbarer Dateien wie "exe", "scr" und "pif" möglich.

Im Windows-Verzeichnis legt sich Netsky.B als Dienst unter der Bezeichnung "services.exe -serv" an. Außerdem sorgt der Wurm per Eintrag im Registry-Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" dafür, mit jedem Windows-Start aktiviert zu werden. Des Weiteren entfernt er die Werte "Taskmon" und "Explorer" aus den Schlüsseln "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" und "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices", sowie, soweit vorhanden, die Werte "KasperskyAV" und "System." aus dem Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run". der Registry-Eintrag "HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32" wird komplett gelöscht, haben die Experten von Symantec festgestellt.

Die Virenspezialisten von Network Associates erhalten stündlich zwischen 40 und 50 Netsky.B-Mails - teils über Kundenanfragen, teils über herkömmliche E-Mails. Ein kostenloses Removal-Tool findet sich bei Symantec. (lex)