|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Netsky.B
I-Worm.Netsky.B alias W32.Netsky.B
I-Worm.Netsky.B verbreitet sich wie schon sein Vorgänger (I-Worm.Netsky) per E-Mail und über Windows-Netzwerkfreigaben.
Wird der Wurm per Doppelklick durch den eMailempfänger aktiviert, kopiert er sich unter dem Namen "services.exe" in das Windows-Verzeichnis und legt folgenden Registryeintrag für seinen Neustart an wenn der PC neu gestartet/rebootet wir:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
service= "C:\\WINDOWS\\services.exe -serv"
Die für seine Verbreitung nötigen eMailadressen erhält er aus Dateien mit den Dateiendungen .MSG, .OFT, .SHT, .DBX, .TBB, .ADB, .DOC, .WAB, .ASP, .UIN, .RTF, .VBS, .HTML, .HTM, .PL, .PHP, .TXT und .EML welche er in allen Laufwerken inkl. Netzlaufwerken sucht.
Das Wurm-Mail hat folgendes aussehen:
Betreff: (zufällig mit nachfolgenden Wörtern bzw. Textzeilen)
unknown
fake
stolen
information
warning
something for you
read it immediately
hello
Text: (zufällig mit nachfolgenden Wörtern bzw. Textzeilen)
something is fool
something is going wrong
you are bad
you try to steal
you feel the same
you earn money
thats wrong
why?
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you
your name is wrong
i hope it is not true!
kill the writer of this document!
something about you!
I have your password!
you are a bad writer
is that FROM you?
i wait for a reply!
is that your account?
is that your name?
is that true?
here
my hero
read it immediately!
here is the document.
read the details.
i'm waiting
what does it mean?
anything ok?
Attachment: (Eine der folgenden Dateinamen mit einer doppelten Datei-Erweiterung)
misc
party
disco
part2
mail2
object
ranking
dinner
release
final
location
jokes
friend
website
mails
story
found
nomoney
aboutyou
shower
topseller
product
swimmingpool
bill
note
concert
textfile
posting
stuff
attachment
details
creditcard
message
talk
document
unknown
fake
stolen
information
warning
something for you
read it immediately
hello
Die Dateiendung setzt aich aus .DOC, .RTF, .HTM, .PIF, .COM, .SCR, .EXE. sowie .ZIP zusammen.
Die Absender-eMailadresse wird gefälscht, wodurch der tatsächliche Infizierte-PC nur erschwert ausfindig zu machen ist. Dadurch ist bei einer größeren Verbreitung des Wurmes wieder mit überfüllten Mail-Postfächern zu rechnen da die eMail-Replays (Virenmeldung oder Empfänger nicht erreichbar) wahllos an die auf dem infizierten PC gefundenen Absenderadressen gesendet werden.
Für die Netzwerkverbreitung werden alle Laufwerke (C: bis Z:) durchsucht ob ein freigegebener Ordner mit dem Namensteil "share" oder "sharing" vorhanden ist und sollte ein solches Verzeichnis gefunden werden kopiert sich der Wurm in den Ordner.
Die von dem Wurm verwendeten Dateinamen für die Netzwerkverbreitung lauten:
angels.pif
cool screensaver.scr
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e-book.archive.doc.exe
e.book.doc.exe
eminem - lick my pussy.mp3.pif
hardcore porn.jpg.exe
how to hack.doc.exe
matrix.scr
max payne 2.crack.exe
nero.7.exe
office_crack.exe
photoshop 9 crack.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
serial.txt.exe
sex sex sex sex.doc.exe
strippoker.exe
virii.scr
win longhorn.doc.exe
winxp_crack.exe
Manuelle Entfernung:
1. Löschen des Registry-Eintrages
2. Beenden des Wurm-Prozesses
3. Wurm-Datei löschen
|
|
Linktipps: Seitensprung
|
|
|
|
