Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Netsky.AB
Alias: W32/Netsky-AB, W32/Netsky.ab@MM virus, INFECTED I-Worm.NetSky.ab
Wieder eine weitere Nachfolge des Netsky-Worm, Verbreitung ebenfalls über E-Mail.
Der Wurm kopiert sich mit dem Dateinamen csrss.exe in den Windows-Ordner
und erstellt die folgenden Registrierungseinträge, damit der Wurm automatisch startet,
sobald sich ein Benutzer anmeldet:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BagleAV
Der Wurm löscht Registrierungseinträge, die auf Dateien mit den Namen drvsys.exe
und ssgrate.exe verweisen.
Die E-Mail-Adressen sucht sich I-Worm.Netsky.AB in Dateien mit folgenden Endungen:
.a,.ad,.adb,.as,.asp,.c,.cf,.cfg,.cg,.cgi,.d,.db,.dbx,.dh,.dht,.dhtm,.do,.doc,.e,.em,.eml,
.h,.ht,.htm,.html,.j,.js,.jsp,.m,.mb,.mbx,.md,.mdx,.mh,.mht,.mm,.mmf,.ms,.msg,.n,.nc,.nch,
.o,.od,.ods,.of,.oft,.p,.ph,.php,.pl,.pp,.ppt,.r,.rt,.rtf,.s,.sh,.sht,.shtm,.st,.stm,.t,.tb,
.tbb,.tx,.txt,.u,.ui,.uin,.v,.vb,.vbs,.w,.wa,.wab,.ws,.wsh,.x,.xl,.xls,.xm,.xml
Aussehen der E-Mails:
Betreff:
Correction
Hurts
Privacy
Password
Wow
Criminal
Pictures
Text
Money
Stolen
Found
Numbers
Funny
Only love?
More samples
Picture
Letter
Question
Inhalt:
Please use the font arial!
How can I help you?
Still?
Ive your password. Take it easy!
Why do you show your body?
Hey, are you criminal?
Your pictures are good!
The text you sent to me is not so good!
True love letter?
Do you have no money?
Do you have asked me?
Ive found your creditcard. Check the data!
Are your numbers correct?
You have no chance...
Wow! Why are you so shy?
Do you have more samples?
Do you have more photos about you?
Do you have written the letter?
Does it hurt you?
Please do not sent me your illegal stuff again!!!
Anhang (im PIF-Format):
corrected_doc.pif
hurts.pif
document1.pif
passwords02.pif
image034.pif
myabuselist.pif
your_picture01.pif
your_text01.pif
your_letter.pif
your_bill.pif
my_stolen_document.pif
visa_data.pif
pin_tel.pif
your_text.pif
loveletter02.pif
all_pictures.pif
your_letter_03.pif
your_picture.pif
abuses.pif
Folgende Prozesse werden versucht zu beenden:
iruslis
antivir
sophos
freeav
andasoftwa
skynet
messagelabs
aspersky
itdefender
f-secur
ymantec
antivi
icrosoft
I-Worm.Netsky.AB versucht mit folgenden Adressen zu verbinden:
212.7.128.162
212.7.128.165
193.193.158.10
194.25.2.131
194.25.2.132
194.25.2.133
194.25.2.134
62.155.255.16
212.185.252.73
212.185.253.70
212.185.252.136
194.25.2.129
194.25.2.130
195.20.224.234
217.5.97.137
194.25.1.129
193.193.144.12
193.141.40.42
145.253.2.171
193.189.244.205
213.191.74.19
151.189.13.35
195.185.185.195
212.44.160.8
Entfernung:
Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BagleAV
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
