hoch
Übersicht
Übersicht
Maßnahme- Weitere Informationen
| Betroffene Betriebssysteme | Windows |
|---|---|
| Schutz erhältlich seit | 25 Februar 2004 17:09:08 (GMT) |
| Letztes Update | 28 September 2005 07:17:03 (GMT) |
| Erkannt von | Alle Sophos Produkte |
Kostenlose Überprüfung auf Viren
- Kostenlose Überprüfung auf Viren und Spyware
- Testet Ihren bestehenden Virenschutz
- Findet Ihre Virenschutzlösung alle Viren?
Maßnahme
- Übersicht
- Maßnahme
- Weitere Informationen
Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.
Bitte folgen Sie den Hinweisen zum Entfernen von W32/Netsky-C.
Weitere Informationen
W32/Netsky-C ist ein Wurm, der sich über freigegebene Netzwerke verbreitet und indem er sich per E-Mail an Adressen sendet, die er in Dateien auf den Laufwerken C: bis Z: findet
Die Betreffzeile der E-Mail, der Text und die Namen der angehängten Dateien werden zufällig aus Listen innerhalb des Wurms ausgewählt.
Der Name der angehängten Datei wird ausgewählt aus:
associal, msg, yours, doc, wife, talk, message, response,
creditcard, description, details, attachment, pic, me, trash,
card, stuff, poster, posting, portmoney, textfile, moonlight,
concert, sexy, information, news, note, number_phone, bill,
mydate, swimmingpool, class_photos, product, old_photos, topseller,
ps, important, shower, myaunt, aboutyou, yours, nomoney, birth,
found, death, story, worker, mails, letter, more, website,
regards, regid, friend, unfolds, jokes, doc_ang, your_stuff,
location, 454543403, final, schock, release, webcam, dinner,
intimate stuff, sexual, ranking, object, secrets, mail2, attach2,
part2, msg2, disco, freaky, visa, party, material, misc,
nothing, transfer, auction, warez, undefinied, violence, update,
masturbation, injection, naked1, naked2, tear, music, paypal,
id, privacy, word_doc, image oder incest.
Die Erweiterung des Attachments ist ZIP, COM, EXE, PIF oder SCR. Davor kann allerdings eine der folgenden gesetzt werden: .DOC, .HTM, .RTF oder .TEXT. (z. B.visa.htm.scr)
Wenn er erstmals ausgeführt wird, kopiert sich W32/Netsky-C als winlogon.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, so dass winlogon.exe automatisch beim Start von Windows aktiviert wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQNet
= <WINDOWS>\winlogon.exe -stealth
W32/Netsky-C verbreitet sich über Dateiaustausch-Netzwerke, indem er sich in Ordner auf den Laufwerken C: bis Z: kopiert, deren Namen die Zeichenfolge "Shar" enthält. Beim Kopieren verwendet er einen der folgenden Dateinamen, der zufällig aus dieser Liste ausgewählt wird:
1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Adobe Premiere 9.exe
Ahead Nero 7.exe
Best Matrix Screensaver.scr
Clone DVD 5.exe
Cracks & Warez Archive.exe
Dark Angels.pif
Dictionary English - France.doc.exe
DivX 7.0 final.exe
Doom 3 Beta.exe
E-Book Archive.rtf.exe
Full album.mp3.pif
Gimp 1.5 Full with Key.exe
How to hack.doc.exe
IE58.1 full setup.exe
Keygen 4 all appz.exe
Learn Programming.doc.exe
Lightwave SE Update.exe
Magix Video Deluxe 4.exe
Microsoft Office 2003 Crack.exe
Microsoft WinXP Crack.exe
MS Service Pack 5.exe
Norton Antivirus 2004.exe
Opera.exe
Partitionsmagic 9.0.exe
Porno Screensaver.scr
RFC Basics Full Edition.doc.exe
Screensaver.scr
Serials.txt.exe
Smashing the stack.rtf.exe
Star Office 8.exe
Teen Porn 16.jpg.pif
The Sims 3 crack.exe
Ulead Keygen.exe
Virii Sourcecode.scr
Visual Studio Net Crack.exe
Win Longhorn Beta.exe
WinAmp 12 full.exe
Windows Sourcecode.doc.exe
WinXP eBook.doc.exe
XXX hardcore pic.jpg.exe
W32/Netsky-C versucht, die folgenden Registrierungseinträge zu löschen, sofern sie existieren:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\system.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sentry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msgsrv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\D3dupdate.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows services host
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows services host
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKLM\System\CurrentControlSet\Services\WksPatch
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Wenn der Wurm am 26. Februar 2004 zwischen 6.00 und 9.00 Uhr gestartet wird, kann dies dazuführen, dass der Computer sporadisch piept.
Der Netsky-C enthält den folgenden Text, der in seinen Code eingebettet ist:
<-<- we are the skynet - you can't hide yourself! - we kill malware
writers (they have no chance!) - [LaMeRz-->]MyDoom.F is a thief of our idea!
- -< SkyNet AV vs. Malware >- ->->
|
