Wurm NetSky.PS
Verbreitung: *****
Schaden: *****
Zurzeit sind E-Mails unterwegs, die behaupten, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern der Wurm NetSky.PS, der das betreffende System infizieren will.
Die E-Mail hat folgendes Aussehen
Betreff: „Internet Provider Abuse“.
Dateianhang: „details.pdf.exe“
E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“
Dateigröße: 50.688 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\fvprotect.exe
Es werden folgende Dateien erstellt:
– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
– • %WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
– • %WINDIR%\zip1.tmp
– • %WINDIR%\zip2.tmp
– • %WINDIR%\zip3.tmp
– • %WINDIR%\base64.tmp
– – %WINDIR%\userconfig9x.dll
Folgender Registryschlüssel wird hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• „Norton Antivirus AV"="%WINDIR%\FVProtect.exe”