Jump to content

Mail Wurm Netsky.D + Netsky.E im Umlauf


EVIL
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Wollte nur mal alle darauf vorbereiten das seit heute mittag Netsky in der Variante D+E im Umlauf sind.

Bei mir war in der Firma jeder unten aufgeführter Name im Dateianhang mind. 2 x angekommen :suspect:

 

Hier die Merkmale von Netsky.D:

 

Beschreibung:

 

Worm/NetSky.D ist ein Massenmailer, mit einer Größe von 17.424 Bytes. Er nutzt seine eigene SMTP Engine zum Versand von Emails. Somit ist der Wurm auf keinen Email-Client mehr angewiesen. Er durchsucht Dateien auf allen lokalen Laufwerken und freigegebenen Verzeichnissen nach Emailadressen, an die er sich versenden kann.

 

Eine von Worm/NetSky.D versendete Email kann unterschiedliches aussehen besitzen. Hierzu nutzt der Wurm eine Liste mit Wörtern und Sätzen, die er wahllos zusammensetzt, zum Versand.

 

Der Wurm kopiert sich in das Windows Verzeichnis als WINLOGON.EXE und legt einen passten Eintrag in der Windows Registry an.

 

Infektionsweg:

 

Emailversand mit Hilfe seiner eigenen SMTP Engine

 

Technische Arbeitsweise des Wurms:

Worm/NetSky.D ist ein Massenmailer, mit einer Größe von 25.352 Bytes. Er nutzt seine eigene SMTP Engine zum Versand von Emails. Somit ist der Wurm auf keinen Email-Client mehr angewiesen.

Er durchsucht Dateien mit folgender Dateierweiterung auf allen lokalen Laufwerken und freigegebenen Verzeichnissen nach Emailadressen, an die er sich versenden kann:

 

.adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, und .wab

 

Er kopiert sich selbst in das Windows Verzeichnis als WINLOGON.EXE und fügt folgenden Eintrag der Windows Registry hinzu:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run]

"ICQ Net" = "%Windir%\winlogon.exe -stealth"

Achtung: Die Datei WINLOGON.EXE ist nicht zu verwechseln mit der Originaldatei im SYSTEM32 Verzeichnis von Windows.

 

Eine von Worm/NetSky.D versendete Email kann unterschiedliches aussehen besitzen. Hierzu nutzt der Wurm eine Liste mit Wörtern und Sätzen, die er wahllos zusammensetzt. Somit ist die Betreffzeile, der Email-Body und der Dateinname des Anhangs mit

jeder versendeten Email unterschiedlich.

 

Das Subject einer Email kann sich aus einem der folgenden Beispiele zusammensetzen:

 

Re: Approved

Re: Details

Re: Document

Re: Excel file

Re: Hello

Re: Here

Re: Here is the document

Re: Hi

Re: My details

Re: Re: Document

Re: Re: Message

Re: Re: Re: Your document

Re: Re: Thanks!

Re: Thanks!

Re: Word file

Re: Your archive

Re: Your bill

Re: Your details

Re: Your document

Re: Your letter

Re: Your music

Re: Your picture

Re: Your product

Re: Your software

Re: Your text

Re: Your websiteDer

Dateiname des Anhangs kann sich aus einem der folgenden Beispiele zusammensetzen:

 

all_document

application

document

document_4351

document_excel

document_full

document_word

message_details

message_part2

mp3music

my_details

your_archive

your_bill

your_details

your_document

your_file

your_letter

your_picture

your_product

your_text

your_website

yours

Dateierweiterung des Wurmes kann sich aus einem der folgenden Beispiele zusammensetzen:

 

.txt

.rtf

.doc

.htm

Die zweite Dateierweiterung kann lauten:

 

.exe

.scr

.com

.pif

Worm/NetSky.D erstellt im Windows Verzeichnis mehrere ZIP Archive von sich selbst, welche die oben angegebenen Dateinamen des Anhangs besitzen können mit der Dateierweiterung .ZIP.

 

Quelle: http://www.antivir.de'>http://www.antivir.de

 

Eine Beschreibung zu Netsky.E ist in wenigen Stunden auf http://www.antivir.de zu finden.....

 

Seit heute morgen hat unser Server sage und schreibe 60 Warnungen an mich versand. Der Virus war zwar erst seit heut mittag bekannt - aber bis dahin wurden die Dateianhänge trotzdem geblockt.

 

Greetz, Evil

Link zu diesem Kommentar

Ja, da hast du recht :mad:

 

Diese Viren stören mich nicht so, da ich eh solche dateien am Linux Server mit dem Procmail Sanatizer blocke.

 

Was mich vielmehr stört, ist die Tatsache, das immer mehr Viren sich heutzutage als .zip verschicken :suspect:

 

War bisher noch eine ziemlich sichere Sache (bis vor ein paar Monaten).

 

Ansonsten hab ich eh sämtliche dateien gleich geblockt, die in einer E-Mail nichts zu suchen haben......

 

In diesem Sinne,

 

Haltet nicht nur eure Antiviren-Programme auf dem laufenden, sondern stellt auch eure Regeln dementsprechend auf die Situation ein..... (Auch Antiviren-Hersteller sind nur menschen, und keine Maschinen, und können nicht immer sofort reagieren)..

 

Greetz, Evil

Link zu diesem Kommentar

Ich hatte heute meinen ersten Arbeitstag bei einer neuen Firma und wie solls auch anders sein trieb Netsky auch bei uns sein Unwesen.

 

War in einem Benutzerprofil auf einem Terminal Server. Im Grunde haben die Benutzer auch gar nicht die Rechte den Wurm "auszuführen", er trägt sich ja z.B. schließlich auch in die Registry ein und darauf haben sie gar keinen Zugriff, aber dennoch war es ärgerlich.

 

By the way .... welche Antiviren Software würdet ihr in einem mittleren Firmennetz empfehlen? Was ich heute so gesehen hab ist dort Ikarus im Einsatz. Der Mailserver steht extern, darauf haben wir keinen Einfluss was Virenprüfung betrifft. Die meisten Benutzer arbeiten auf Terminal Servern, d.h. diese sollten besonders geschützt sein was Viren betrifft.

 

Würde mich über Tips und Erfahrungen freuen. :)

 

Andi

Link zu diesem Kommentar

@AndiW

 

Mag doof klingen. Aber ich schwör auf die Server/Client von G-Data (AVK AntiVirus). Super Sache. Einfache Verteilung, tägiche (mittlerweile stündliche) Updates. Zentrale, klare, spitzen Bedienung 2 Engines.

 

Einziger Nachteil: Macht die Clients etwas träge. Aber bei modernen Clients no Probs. Bei Win 98 Clients gibt es bei dem Ding auch ein paar Schwierigkeiten, aber die sind lösbar.

 

Rundum für mich die Lösung. Erst recht, wo se seit der neuen Version (2004) auch nen Exchange Agent haben in der Business Suite Security Version. Nicht ganz billig, aber dafür kann man ein 3jahres Premium Update abschließen!!!!!!

 

Ich verlasse mich voll auch das Teil. Vielleicht auch nicht richtig, aber absolut mein Favorit. Flecki wird mir da sicher zustimmen, nachdem ich ihn endlich von dem Norton Mist abbringen konnte ;)

 

 

Aber mal zu Viren Allgemein: Wo führt das noch hin. War es vor nem Jahr noch so, dass man alle 6 Monate was extrem neues erwarten musste, ist es heute bald jeden Monat!!!!!!! Wenn das so weiter geht, leben wir bald wieder in der Steinzeit!!!!

 

BTW: Kenn mich in UNIX/LINUX nicht so aus, aber kann mir eigentlich mal jemand erklären, wieso es sooooo viele MS Viren gibt, aber kaum LINUX/UNIX Viren???? Obgleich bei LINUX der Kern sogar bekannt ist!!!!! Ich raff das nicht und werde so ganz nebenbei das Gefühl bei dem Gedanken nicht los, dass sämtliche Viren von ..... stammen. Lassen wir das! Ist mein pers. Empfinden

Link zu diesem Kommentar

Wenn mir so ein Viren/Wurm Programmierer zwischen die Finger kommt, den werde ich ........ !

 

@ Wildi.

 

Ich denke das die meisten Viren/wurm Programmierer aus der Linux/unix welt kommen. Denn bekanntlich sind das Windows hasser. Ist halt ein Glaubenskrieg bzw. ein Kreuzzug der neuen Generation. Unix Systemen kann man nicht so leicht einen Schaden zu führen wie es bei Windows der fall ist.

 

Als Antivirus System nutze ich NAI's epolicy Orchestrador und Virusscan auf den client und den groupshield auf den Exchange.

Alle Server und Clients werden bei mir seit Wochen jede Stunde, wenn vorhanden, mit einem Update versehen.

 

Heute hat das Ding bei mir in der Firma ca. 180 Emails abgefangen mit der Endung PIF. Einfach genial.

 

Vielleicht sollte man mal Billy Boy auf die Finger hauen, den diese Würmer verbreiten sich nur weil,

1. Windows zu viele Lücken hat

2. immer noch seh viele "möchtegern" admin's die Systeme nicht patche usw.

 

 

mirki

Link zu diesem Kommentar

Hi !

Ich versteh eigentlich garnicht, wie die letzten Virenvarianten sich überhaupt so rasant verbreiten konnten.

Als Beispiel:

Mein Kollege (Admin) bekam eine Mail aus Schweden mit englischen Text !!! - Er kennt keinen in Schweden !

Als Anhang lag eine ZIP bei, die entpackt ein *.scr - file enthielt ! (MyDoom).

 

Der NormalUser (des Englischen nicht mächtig) müßte also eine englischsprachige Mail aus Schweden (wo er keinen kennt) öffnen, das Zipfile entpacken (falls er weiß, wie das geht) und dann den "Bildschirmschoner", den er garnicht haben wollte, starten !!!

 

Wieso haben sich MyDoom und Varianten so rasant verbreitet ?

Haun die wirklich alle auf die Tasten, damit es mit MyDoom auch weitergeht ("SCO-Hasser ?"). :D

Link zu diesem Kommentar

Hi zuschauer ;)

 

Ich denke, die leute überlegen garnicht. Und, wie ich oben schon sagte, ist das vertrauen in .zip files wohl noch sehr hoch....

 

Im Zeitalter des "spams" ist eine englische Mail ja leider nichts mehr ungewöhnliches.....

 

Und da viele Absender gespooft werden siehts dann so aus:

 

Ach, eine Mail von meinem schwager - mal sehen, was er so schreibt.....

 

Die Biester sind schon echt fies geworden mittlerweile :mad:

 

Mein Chef war lt. Sober.C mit einem Abteilungsleiter in einer Klasse, und hat von ihm Klassen-Fotos im Zip File per mail bekommen :suspect: Obwohl die nur 10m auseinander ihre Büros haben ....

 

Greetz, Evil

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...