PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virus: Netsky.HB



bletz
26.10.07, 18:37
26.10.2007
Verbreitung
http://www.bildercache.de/bild/20071026-154746-449.jpg
Schaden.
http://www.bildercache.de/bild/20071026-154952-621.jpg

Der Wurm Netsky.HB ist zurzeit unterwegs und lockt unter anderem mit einer E-Mail im Anhang, die nicht zugestellt werden konnte. Nach einem Doppelklick auf die im Anhang befindliche Datei, wird jedoch keine fehlgeleitete E-Mail angezeigt, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff:
Eine der folgenden:
• Mail Delivery (failure);
• my application;
• News;
• Notice again;
• Post****;
• Private document;
• Protected Mail System;

Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
• document_all
• text
• message
• data
• excel document
• word document
• letter
• information
• details
• file
• document
• important
• approved

Die Dateierweiterung ist eine der folgenden:
• exe
• pif
• scr
• zip

Größe des Dateianhangs:
Ca. 31.000 Bytes.

E-Mail-Text:
• Please see the attached file for details
• Please read the attached file!
• Your document is attached.
• Please read the document.
• Your file is attached.
• Your document is attached.
• Please confirm the document.
• Please read the important document.
• See the file.
• Requested file.
• Authentication required.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System:

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\FVProtect.exe

Es werden folgende Dateien erstellt:

– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
• %WINDIR%\zipped.tmp
Die folgenden Registryschlüssel werden hinzugefügt, um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\
Wink%dreistellige zufällige Buchstabenkombination%]
• Type = 110
• Start = 2
• ErrorControl = 0
• ImagePath = %SYSDIR%\wink%dreistellige zufällige Buchstabenkombination%.exe
• DisplayName = Wink%dreistellige zufällige Buchstabenkombination%
• "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Sec urity]
• Security = %hex values

– [HKLM\SYSTEM\CurrentControlSet\Services\Winkegh\Enu m]
• 0 = Root\LEGACY_WINK%dreistellige zufällige Buchstabenkombination%\0000
• Count = 1
• NextInstance = 1

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Norton Antivirus AV="%WINDIR%\FVProtect.exe"

Die Werte des folgenden Registryschlüssel werden gelöscht:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• system
• msgsvr32
• winupd.exe
• direct.exe
• jijbl
• Video
• service
• DELETE ME
• Sentry
• Taskmon
• Windows Services Host

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Explorer
• au.exe
• direct.exe
• d3dupdate.exe
• OLE
• gouday.exe
• rate.exe
• Taskmon
• Windows Services Host
• sysmon.exe
• srate.exe
• ssate.exe
• winupd.exe

Die Malware verfügt über eine eigene SMTP-Engine um E-Mails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut.

Quelle.viren-ticker.de

Bobby
26.10.07, 19:09
Solche Hinweise sind immer wertvoll.

Trotzdem kann ich die Dummheit
mancher klickenden Menschen nicht verstehen!

Das war zwar nicht meine Bank, aber ich gebe mal meine Geheimzahl ein! :34568:

Gruß

Bobby