Wurm NetSky.PS



Verbreitung: *****
Schaden: *****

Zurzeit sind E-Mails unterwegs, die behaupten, der Empfänger habe illegale Internetseiten besucht. Eine Liste der Internetseiten befindet sind im Anhang. In dem Anhang steckt natürlich keine Liste illegaler Internetseiten, sondern der Wurm NetSky.PS, der das betreffende System infizieren will.

Die E-Mail hat folgendes Aussehen

Betreff: „Internet Provider Abuse“.

Dateianhang: „details.pdf.exe“

E-Mail-Text: „I noticed that you have visited illegal websites. See the name in the list!“

Dateigröße: 50.688 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:
• %WINDIR%\fvprotect.exe

Es werden folgende Dateien erstellt:
– Es wird folgende Archivdatei mit der Kopie der Malware erstellt:
– • %WINDIR%\zipped.tmp – MIME enkodierte Kopie seiner selbst:
– • %WINDIR%\zip1.tmp
– • %WINDIR%\zip2.tmp
– • %WINDIR%\zip3.tmp
– • %WINDIR%\base64.tmp
– – %WINDIR%\userconfig9x.dll

Folgender Registryschlüssel wird hinzugefügt:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• „Norton Antivirus AV"="%WINDIR%\FVProtect.exe”