News
23.04.2004, 20:30 Uhr
W32/Netsky.X, Y und Z
Diese drei Netsky-Varianten unterscheiden sich nicht allzu stark von früheren. Aber die Ziele der eingebauten Denial-of-Service-Attacke vermögen zu überraschen, handelt es sich doch hauptsächlich um Bildungs-Server - einer davon steht in der Schweiz.
Die drei hier beschriebenen Varianten des weit verbreiteten Netsky-Wurms [1] sind sich recht ähnlich.
***W32/Netsky.X***
Kennzeichen der Mails:
Verschiedene Betreffzeilen und sehr kurze Begleittexte, in unterschiedlichen Sprachen. Die Beilage heisst in der deutschsprachigen Variante "dokument.pif" und in der englischen "document.pif". Die Absenderadresse ist stets gefälscht; d.h. die Wurmmail kam nicht von der Firma oder Person, die bei solchen Mails als Absender drin steht.
Installation im System:
Wird die Datei ausgeführt, legt der Wurm eine Datei namens "FirewallSvr.exe" im Windows-Ordner ab (also z.B. in C:\Winnt oder C:\Windows). Diese trägt er in der Windows-Registry in diesem Zweig ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet: "FirewallSvr" = "%WinDir%\FirewallSvr.exe"
Ebenfalls im Windows-Ordner legt er eine weitere (textcodierte) Kopie von sich selber ab, und zwar unter dem Namen "fuck_you_bagle.txt".
Schäden/Auswirkungen:
Durch die Massenmails, die solche Würmer von infizierten PCs aus automatisch verschicken, werden Mailserver strapaziert und Postfächer mit Wurm-Müll überflutet. Ein grosses Sicherheitsrisiko ist die Hintertüre, die der Wurm im TCP-Port Nummer 82 öffnet. Durch diese kann ein Angreifer weitere ausführbare Dateien ins System einschleusen und sofort ausführen lassen.
Wie andere Netsky-Varianten zuvor, führt auch Netsky.X eine Denial-of-Service-Attacke aus. Diesmal trifft es zwischen dem 28. und 30. April 2004 diese Webseiten: www.nibis.de, www.medinfo.ufl.edu und www.educa.ch.
Beseitigung:
Vor dem Entfernen des Wurms müssen Benutzer von Windows Me und XP die Systemwiederherstellungs-Funktion ausschalten. Wie dies geht, steht in einem Kummerkasten-Beitrag unter Webcode 26316 [2].
Die manuelle Beseitigung des Wurms besteht darin, im Registry-Editor den oben erwähnten Eintrag zu entfernen. Nach einem anschliessenden PC-Neustart können die Wurm-Dateien entfernt werden.
Wer nicht gern selber die Registry anfasst, kann bei F-Secure [3] ein Beseitigungs-Tool herunterladen, entzippen und ausführen. Mit diesem lässt sich Netsky.X entfernen.
Infos:
Ausser bei F-Secure finden sich Informationen über Netsky.X auch bei McAfee [4] und bei Symantec [5]; letztere ebenfalls mit einem Beseitigungs-Tool.
***W32/Netsky.Y***
Kennzeichen der Mails:
Die Absenderadresse ist stets gefälscht. Der Betreff beginnt immer mit "Delivery failure notice", gefolgt von einer zufälligen ID-Nummer. Die Beilage gaukelt vor, eine Web-Adresse mit Endung .com zu sein, etwa nach dem Muster: "www.(ein Domain Name).(ein Benutzername).(eine Nummer).com". Im Mailtext steht entweder "Partial" oder "External" oder "New" oder "Delivered", gefolgt von "message is available".
Installation im System:
Genau gleich wie Netsky.X (siehe oben).
Schäden/Auswirkungen:
Genau gleich wie Netsky.X.
Beseitigung:
Genau gleich wie Netsky.X.
Infos:
Detaillierte Infos über Netsky.X finden Sie beispielsweise bei F-Secure [6], McAfee [7] und Symantec [8].
***W32/Netsky.Z***
Kennzeichen der Mails:
Die Absenderadresse ist gefälscht. Der Betreff ist einer von diesen: "Document", "Hello", "Hi", "Important" oder "Information". Im Mailtext steht meist nur "Important", gefolgt von einem weiteren Wort, also etwa "Important details!". Die Beilage kann ebenfalls unterschiedliche Namen haben, ist aber stets eine Zip-Datei.
Installation im System:
Wird die Datei ausgeführt, legt der Wurm eine Datei namens "Jammer2nd.exe" im Windows-Ordner ab (also z.B. in C:\Winnt oder C:\Windows). Diese trägt er in der Windows-Registry in diesem Zweig ein:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet: "Jammer2nd" = "%WinDir%\Jammer2nd.exe"
Zusätzlich legt der Wurm textcodierte Kopien von sich selber auf dem System ab, mit Namen wie "PK_ZIP(eine Zahl).LOG".
Schäden/Auswirkungen:
Genau wie Netsky.X und Y, mit dem Unterschied, dass die DoS-Attacke (auf dieselben Server) erst vom 2. bis zum 5. Mai 2004 stattfindet und dass Netsky.Z auf einer anderen TCP-Port-Nummer lauscht, nämlich 665.
Beseitigung:
Vor dem Entfernen des Wurms müssen Benutzer von Windows Me und XP die Systemwiederherstellungs-Funktion ausschalten (Vorgehen siehe Link unten). Die manuelle Beseitigung des Wurms besteht darin, im Registry-Editor den oben erwähnten Eintrag zu entfernen. Nach einem anschliessenden PC-Neustart können die Wurm-Dateien entfernt werden.
Es ist gut möglich, dass zumindest F-Secure das bisherige Netsky-Beseitigungs-Tool auf die Variante Z ausweitet. Ob das in der Zwischenzeit schon geschehen ist, steht in der Netsky.Z-Beschreibung von F-Secure.
Infos:
Kommentare
Es sind keine Kommentare vorhanden.