Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Netsky.C löscht die Mydoom-Varianten A und B

Mass-Mailer verbreitet sich über Peer-to-Peer-Netze

(27.02.04) - MessageLabs hat zahlreiche Exemplare einer neuen Variante der "Netsky"-Familie abgefangen. Die erste mit W32/Netsky.C-mm infizierte E-Mail stammte aus Großbritannien. Allgemeines W32/Netsky.C-mm verbreitet sich über E-Mail und über Mapped Drives. Dies erreicht der Schädling zum einen, indem er sich selbst an alle auf dem infizierten Rechner gespeicherten Adressen verschickt. Zum anderen kopiert sich Netsky.C in Ordner auf den Laufwerken C bis Z. Darüber hinaus versucht der "gute" Wurm, eventuell auf dem infizierten Rechner vorhandene Kopien von Mydoom.A oder Mydoom.B zu löschen.

Der Virus kopiert sich selbst in Directories, die den String "shar" auf dem lokalen System oder auf Mapped Drives enthalten. Dann beginnt die Verbreitung über KaZaa, Bearshare, Limewire oder ähnliche P2P-Applikationen, die gemeinsame Dateinamen mit den Bausteinen "share" oder "sharing" verwenden.

Die Mailing-Komponente "erntet" die erforderlichen E-Mail-Adressen vom lokalen System, wobei Dateien mit folgenden Namenserweiterungen durchsucht werden:

·         .adb

·         .asp

·         .cgi

·         .dbx

·         .dhtm

·         .doc

·         .eml

·         .htm

·         .oft

·         .php

·         .pl

·         .rtf

·         .sht

·         .shtm

·         .msg

·         .tbb

·         .txt

·         .uin

·         .vbs

·         .wab

Der Wurm verschickt sich nicht an Adressen, die einen der folgenden Bestandteile enthalten:

·         abuse

·         fbi

·         orton

·         f-pro

·         aspersky

·         cafee

·         orman

·         itdefender

·         f-secur

·         avp

·         spam

·         ymantec

·         antivi

·         icrosoft

Charakteristika betroffener E-Mails

Von: zufällige E-Mail-Adressen, die sich auf infizierten Systemen befinden

Betreff: die Betreffzeile wird nach dem Zufallsprinzip aus einer umfangreichen Liste möglicher Phrasen ausgewählt

Attachment: wahlweise eine .exe-Datei oder ein Zip-File, das den Wurm enthält; dabei ist sowohl eine einfache als auch eine doppelte Namenserweiterung möglich

Mögliche erste Erweiterungen:

·         .doc

·         .htm

·         .rtf

·         .text

Mögliche zweite Erweiterungen:

·         .com

·         .exe

·         .pif

·         .scr

Dateigröße: 25.352 bytes. (ma)

MessageLabs

Office UK:

Tel. (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com