RedDiamonds Dream Board

Zaubi · Verfasst am: 18.02.2004, 21:47 Titel: Netsky-A - Y

W32/Netsky-B ist ein Wurm, der sich per E-Mail und über Windows-Netzwerkfreigaben verbreitet.

W32/Netsky-B kopiert sich als services.exe in den Windows-Ordner.

W32/Netsky-B durchsucht alle verknüpften Laufwerke nach Dateien mit folgenden Erweiterungen, um darin nach E-Mail-Adressen zu suchen: MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT und EML.

W32/Netsky-B durchsucht die Laufwerke C: bis Z: und versucht, sich in Ordner zu kopieren, deren Namen entweder "share" oder "sharing" enthalten.

Quelle und weitere Infos, insbesonders für Windows NT/2000/XP/2003
findet ihr bei: sophos
http://www.sophos.de/virusinfo/analyses/w32netskyb.html
_________________

Engel fliegen leise!

Fighter · Verfasst am: 19.02.2004, 00:09 Titel:

hallo zaubi,
es ist immer wieder schön so ausführlich von dir gewarnt zu werden Überrascht

)
Muß mal ein.... Danke schön ...aussprechen.

Byeliii
dein Fighter
_________________
Die Liebe ist wie die Sonne. Wer sie hat dem kann vieles fehlen. Wem die Liebe fehlt, dem fehlt alles.

Zaubi · Verfasst am: 19.02.2004, 00:16 Titel:

Nichts zu danken Fighter.

Vielleicht hilft es auch mal Jemandem Winken

winkeeeee Zaubi
_________________

Engel fliegen leise!

Zaubi · Verfasst am: 26.02.2004, 14:09 Titel: Netsky-C

W32/Netsky-C ist ein Wurm, der sich über freigegebene Netzwerke verbreitet
und indem er sich per E-Mail an Adressen sendet, die er in Dateien auf den Laufwerken C: bis Z: findet

Die Betreffzeile der E-Mail, der Text und die Namen der angehängten Dateien
werden zufällig aus Listen innerhalb des Wurms ausgewählt.

Der Name der angehängten Datei wird ausgewählt aus:

associal, msg, yours, doc, wife, talk, message, response,
creditcard, description, details, attachment, pic, me, trash,
card, stuff, poster, posting, portmoney, textfile, moonlight,
concert, sexy, information, news, note, number_phone, bill,
mydate, swimmingpool, class_photos, product, old_photos, topseller,
ps, important, shower, myaunt, aboutyou, yours, nomoney, birth,
found, death, story, worker, mails, letter, more, website,
regards, regid, friend, unfolds, jokes, doc_ang, your_stuff,
location, 454543403, final, schock, release, webcam, dinner,
intimate stuff, sexual, ranking, object, secrets, mail2, attach2,
part2, msg2, disco, freaky, visa, party, material, misc,
nothing, transfer, auction, warez, undefinied, violence, update,
masturbation, injection, naked1, naked2, tear, music, paypal,
id, privacy, word_doc, image oder incest.

Die Erweiterung des Attachments ist ZIP, COM, EXE, PIF oder SCR.
Davor kann allerdings eine der folgenden gesetzt werden: .DOC, .HTM, .RTF oder .TEXT. (z. B.visa.htm.scr)

Wenn er erstmals ausgeführt wird, kopiert sich W32/Netsky-C als winlogon.exe in den Windows-Ordner
und erstellt den folgenden Registrierungseintrag, so dass winlogon.exe automatisch beim Start von Windows aktiviert wird

Quelle und weitere Infos:
http://www.sophos.de/virusinfo/analyses/w32netskyc.html
_________________

Engel fliegen leise!

Zaubi · Verfasst am: 02.03.2004, 19:46 Titel: Netsky-D und Netsky-E

Auch Netsky ist in weiteren Varianten unterwegs:

Netsky-D

Zaubi · Verfasst am: 02.03.2004, 19:57 Titel:

Auch Heise widmet sich diesem Wurm:

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/45128&words=NetSky
_________________

Engel fliegen leise!

Zaubi · Verfasst am: 02.03.2004, 20:05 Titel:

Entfernungstool von Symantec:

http://securityresponse.symantec.com/avcenter/FxNetsky.exe

Und Tool von McAfee:

NAI (Stinger.exe):
http://download.nai.com/products/mcafee-avert/stinger.exe
_________________

Engel fliegen leise!

Zaubi · Verfasst am: 09.03.2004, 13:22 Titel:

Engel fliegen leise!

Zaubi · Verfasst am: 16.04.2004, 10:59 Titel: Netsky V

Netsky-V

"Netsky.V": Eine besonders hinterhältige Variante

Der Internet-Wurm "Netsky" gibt keine Ruhe: Ständig entdecken Sicherheits-Experten neue Varianten des Bösewichts - jetzt ist mit "Netsky.V" wieder eine besonders fiese Mutation im Umlauf. Der Wurm kommt ohne angehängte Datei aus. Schon die Vorschau einer infizierten eMail kann ausreichen, um den Schädling auf den PC zu bringen. Wer in die Falle tappt, riskiert, dass sein PC als Viren-Schleuder missbraucht wird.

Wurm wird automatisch heruntergeladen
Mit dem Wurm infizierte eMails enthalten in der Regel den Nachrichtentext "Converting message. Please wait..." oder "Please wait while loading failed message...". Sobald die Vorschau startet, wird eine Wurm-Kopie von einem verseuchten Rechner aus dem Internet auf den eigenen PC geladen. Diese wird im Windows-Ordner unter dem Dateinamen "KasperskyAVEng.exe" gespeichert. Dann wird der Registrierung ein Eintrag hinzugefügt, so dass die Datei bei der Benutzeranmeldung gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAVEng = KasperskyAVEng.exe

Noch gibt es keine Remove-Tools gegen diesen Schädling.

Quelle und weitere Infos: t-online
http://oncomputer.t-online.de/c/18/61/26/1861264.html

Noch ein Link dazu von Sophos:
http://www.sophos.de/virusinfo/analyses/w32netskyv.html
_________________

Engel fliegen leise!

Zaubi · Verfasst am: 21.04.2004, 23:23 Titel: W32/Netsky-X

W32/Netsky-X

W32/Netsky-X ist eine E-Mail-Wurm mit Backdoor-Funktionen, der stark W32/Netsky-Y ähnelt.

Der Wurm kopiert sich mit dem Dateinamen FirewallSvr.exe in den Windows-Ordner, erstellt eine Datei namens fuck_you_bagle.txt (eine base64-kodierte Form des Wurms) und erstellt die folgenden Registrierungseinträge, damit der Wurm automatisch startet, sobald sich ein Benutzer anmeldet:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
FirewallSvr= C:\<WindowsFolder>\FirewallSvr.exe

Der Wurm verbreitet sich in einer E-Mail mit folgenden Merkmalen:

Betreffzeile: Delivery failure notice (ID-<8_stellige_zufällige_hex_ziffer>)
Text:
--- Mail Part Delivered ---
220 Welcome to [ Empfänger_Domänen_Name ]
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.nt2.kl.Empfänger_Domänen_Name
Exim Status OK
External or New or Delivered or Partial message is available.
Attachment: "www.recipient_domain_name.recipient_username.session--<8_stellige_zufällige_hex_ziffer_wie_in_Betreffzeile>.com"

W32/Netsky-X verfügt über eine Backdoor-Komponente, die auf Verbindungen an TCP-Port 82 wartet und einem nicht autorisierten Programm die Möglichkeit gibt, willkürlichen Code auf dem infizierten Computer auszuführen.

Der Wurm sammelt E-Mail-Adressen in Dateien auf den lokalen Laufwerken. Diese Dateien haben folgende Erweiterungen:

adb, asp, cfg, cgi, dbx, dhtm, doc, eml, htm, html, jsp, mbx,
mdx, mht, mmf, msg, nch, oft, php, pl, ppt, rtf, shtm, tbb, txt,
uin, vbs, wab, wsh, xls, xml.

W32/Netsky-X sendet DNS-Anfragen an folgende Server:

"212.185.252.73"
"212.185.252.73"
"212.185.253.70"
"212.185.252.136"
"194.25.2.129"
"194.25.2.130"
"195.20.224.234"
"217.5.97.137"
"194.25.2.129"
"193.193.144.12"
"212.7.128.162"
"212.7.128.165"
"193.193.158.10"
"194.25.2.131"
"194.25.2.132"
"194.25.2.133"
"194.25.2.134"
"193.141.40.42"
"145.253.2.171"
"193.189.244.205"
"213.191.74.19"
"151.189.13.35"
"195.185.185.195"
"195.185.185.195"
"212.44.160.8"

Zwischen dem 27. und 31. April 2004 fragt der Wurm kontinuierlich Webseiten auf folgenden Websites an:

"www.nibis.de"
"www.medinfo.ufl.edu"
"www.educa.ch"

Quelle: Sophos
http://www.sophos.de/virusinfo/analyses/w32netskyx.html
_________________

Engel fliegen leise!