|
|
Rubrik: Virenwarnung/Aktuelle Meldungen H+BEDV: Wurm "NetSky.C" eliminiert "Mydoom" Varianten und "Mimail.T" Sehr hohe Geschwindigkeit über massenhaften E-Mail-Versand (27.02.04) - H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, NT, 2000 und XP vor der C-Variante des Internet-Wurms "Netsky". Entgegen seines Vorgängers verbreitet sich der Schädling mit sehr hoher Geschwindigkeit über den massenhaften E-Mail-Versand. Der Wurm beinhaltet eine eigene SMTP-Engine, so dass er auf keinen E-Mail-Client angewiesen ist.
Anzeige
Eine Schadensroutine wurde bereits aktiv: Bei Rechnern, deren Systemdatum zwischen 6:00 und 8:00 Uhr am 26. Februar 2004 stand, gab das befallene System über den Lautsprecher einen kontinuier-lichen Peepton von sich. Detaillierte Informationen zum Wurm finden Sie unter: http://www.antivir.de/vireninfo/netskyc.htm Nach Aktivierung durchsucht
der Wurm Dateien mit folgenden Erweiterungen auf allen lokalen Laufwerken und
freigegebenen Verzeichnissen nach E-Mail-Adressen, an die er sich versenden
kann: .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, sht, .shtm, .tbb, .txt, .uin, .vbs, und .wab Er kopiert sich selbst in das Windows Verzeichnis als %WinDir%/Winlogon.exe und fügt folgenden Eintrag der Windows Registry hinzu: {HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run}"ICQ Net" = "%Windir%/winlogon.exe -stealth" Das besondere an Worm/Netsky.C ist, das er vorhandene Registry-Einträge der Würmer Worm/Mydoom.A und Worm/Mydoom.B, sowie Worm/Mimail.T entfernt. Diese Würmer werden nach dem nächsten Systemstart nicht mehr geladen. Wie seine Vorgänger auch schleicht sich der Wurm als E-Mail-Attachment mit einer Doppelendung getarnt in die Rechner der Anwender ein. Der Name der Betreffzeile und des Attachments wird dabei durch eine zufällige Zeichenkombination dargestellt. (ma) H+BEDV Datentechnik Ansprechpartner: Reinhold Hammer Tel. (07542) 93040, Fax (07542) 52510 E-Mail: rhammer@antivir.de Web: www.antivir.de
|
