Antivirus and Security Software from Sophos

Blogs

W32/Netsky-AC

Kategorie
Typ
Vorgehensweise
Verbreitung niedrig hoch

Übersicht

 
Betroffene Betriebssysteme Windows
Schutz erhältlich seit 03 Mai 2004 01:11:15 (GMT)
Letztes Update 03 Mai 2004 10:41:52 (GMT)
Erkannt von Alle Sophos Produkte
Download Kostenlose Überprüfung auf Viren
Download Threat Detection Test
  • Kostenlose Überprüfung auf Viren und Spyware
  • Testet Ihren bestehenden Virenschutz
  • Findet Ihre Virenschutzlösung alle Viren?

Maßnahme

Weitere Informationen

W32/Netsky-AC ist ein Massmailing-Wurm. Der Wurm kopiert sich als comp.cpl in den Windows-Ordner und erstellt eine Helper-Komponente namens wserver.exe im selben Ordner. W32/Netsky-AC erstellt den folgenden Registrierungseintrag, damit er bei der Benutzeranmeldung gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
wserver = wserver.exe Die von W32/Netsky-AC gesendeten E-Mails haben folgende Merkmale: Betreffzeile: Escalation Text: Dear user of <aufgespürter Domänenname> We have received several abuses: - Hundreds of infected e-Mails have been sent
from your mail account by the new worm <Virusname>
- Spam email has been relayed by the backdoor
that the virus has created The malicious file uses your mail account to distribute
itself. The backdoor that the worm opens allows remote attackers
to gain the control of your computer. This new worm
is spreading rapidly around the world now
and it is a serios new threat that hits users. Due to this, we are providing you to remove the
infection on your computer and to
stop the spreading of the malware with a
special desinfection tool attached to this mail. If you have problems with the virus removal file,
please contact our support team at support@<Anti-Virus Domäne> Note that we do not accept html email messages. <Anti-Virus Hersteller> AntiVirus Research Team
Attach: Fix_<Virusname>_<zufällige Ziffer>.cpl Hinweis: <Anti-Virus Hersteller> wird aus folgenden ausgewählt: Sophos
MCAfee
Norman
Norton <Anti-Virus Domäne> wird aus folgenden ausgewählt: sophos.com
symantec.com
nai.com
norman.com <Virusname> wird aus folgenden ausgewählt: NetSky.AB
Sasser.B
Bagle.AB
Mydoom.F
MSBlast.B Name der angehängten Datei: Fix_<Virusname>_<zufällige Ziffer>.cpl Forscher bei Sophos haben außerdem entdeckt, dass im Code von Netsky-AC der Code der folgende Text versteckt ist, der sich an Antiviren-Unternehmen richtet: Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet...

RSS|Atom
Berichte über die neuesten Viren- und Spyware-Threats direkt auf Ihrem Computer