POWER BOARD
Das ultimative Board
 
Welcome Guest: Registrieren | Login
 
FAQ | Suchen | Mitgliederliste | Benutzergruppen
 

W32.Netsky.Y@mm


 
Neues Thema eröffnen   Neue Antwort erstellen
POWER BOARD Foren-Übersicht -> Aktuelle Viren
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
driver87
Administrator



Anmeldungsdatum: 02.07.2004
Beiträge: 55
BeitragVerfasst am: 03.07.2004, 18:26
BeitragTitel: W32.Netsky.Y@mm		 Antworten mit Zitat
Aufgrund der steigenden Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 20. April 2004 von Kategorie 2 auf Kategorie 3 hochgestuft.

Bei W32.Netsky.Y@mm handelt es sich um eine Variante von W32.Netsky.X@mm, die auf dem infizierten Computer alle Laufwerke außer dem CD-ROM-Laufwerk nach E-Mail-Adressen durchsucht. Der Wurm verwendet anschließend eine eigene SMTP-Client-Engine, um sich selbst an die gefundenen E-Mail-Adressen zu senden.

Die E-Mail hat folgendes Format:

Betreff: Delivery failure notice (ID-
Anhang: www...session-.com

Diese Bedrohung wurde mit PE-Pack komprimiert.

Hinweis:

* Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch, wenn sie versucht, den Computer zu infizieren.
* Der Wurm besitzt den MD5-Hash-Wert 0xbd9d6e41791e0703baf7ec8e61ee631e.
* Virusdefinitionen der Version 60420ah (erweiterte Version 20.04.2004, rev. 34) oder höher erkennen diese Bedrohung.
* Symantec Security Response hat ein Programm zur Entfernung von W32.Netsky.Y@mm-Infektionen entwickelt.

Auch bekannt als: W32/Netsky.y@MM [McAfee], WORM_NETSKY.Y [Trend], Win32.Netsky.Y [Computer Associates], W32/Netsky-X [Sophos]
Varianten: W32.Netsky.X@mm
Typ: Wurm
Infektionslänge: 19kb



Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, OS/2, UNIX

TECHNISCHE DETAILS

Bei Ausführung geht W32.Netsky.Y@mm folgendermaßen vor:

1. Er kopiert sich selbst als %Windir%\FirewallSvr.exe.

Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.
2. Er fügt den Wert

"FirewallSvr"="%Windir%\FirewallSvr.exe"

dem folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

3. Er erzeugt eine Mutex namens "____--->>>>U<<<<--____", durch die nur eine Instanz des Wurms im Speicher ausgeführt werden kann.

4. Er legt eine MIME-kodierte Kopie von sich selbst unter %Windir%\fuck_you_bagle.txt ab.

5. Er wartet am TCP-Port 82 darauf, dass ein Angreifer eine ausführbare Datei sendet. Nach dem Herunterladen führt der Wurm die Programmdatei automatisch aus.

6. Wenn das Systemdatum auf dem Computer zwischen dem 28. April 2004 und dem 30. April 2004 liegt, versucht der Wurm, einen Denial of Service (DoS)-Angriff auf folgende Websites durchzuführen:
* www.nibis.de
* www.medinfo.ufl.edu
* www.educa.ch

7. Er durchsucht die Laufwerke C bis Z (außer dem CD-ROM-Laufwerk) und ruft E-Mail-Adressen aus Dateien mit den folgenden Erweiterungen ab:
* .eml
* .txt
* .php
* .cfg
* .mbx
* .mdx
* .asp
* .wab
* .doc
* .vbs
* .rtf
* .uin
* .shtm
* .cgi
* .dhtm
* .abd
* .tbb
* .dbx
* .pl
* .htm
* .html
* .sht
* .oft
* .msg
* .ods
* .stm
* .xls
* .jsp
* .wsh
* .xml
* .mht
* .mmf
* .nch
* .ppt
8. Er verwendet eine eigene SMTP-Engine, um sich selbst an alle gefundenen E-Mail-Adressen sowie die Adresse hukanmikloiuo@yahoo.com zu senden.

Die E-Mail besitzt folgende Merkmale:

Von: (Gefälscht)

Betreff: Delivery failure notice (ID-

Nachricht:
--- Mail Part Delivered ---
220 Welcome to
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.mt2.kl.
Exim Status OK.
message is available.

Das zufällige Wort kann eines der folgenden sein:

New
Partial
External
Delivered
Anhang: www...session-.com

Der Wurm versucht, über den Standard-DNS-Server die IP-Adresse des E-Mail-Servers zu ermitteln.

Wenn die E-Mail-Adresse z. B. irgendjemand@hostname.it lautet, versucht er, die IP-Adresse des Servers, also hostname.it, zu ermitteln. Schlägt dies fehl, versucht er, einen der folgenden DNS-Server einzusetzen:
o 212.185.252.73
o 212.185.253.70
o 212.185.252.136
o 194.25.2.129
o 194.25.2.130
o 195.20.224.234
o 217.5.97.137
o 194.25.2.129
o 193.193.144.12
o 212.7.128.162
o 212.7.128.165
o 193.193.158.10
o 194.25.2.131
o 194.25.2.132
o 194.25.2.133
o 194.25.2.134
o 193.141.40.42
o 145.253.2.171
o 193.189.244.205
o 213.191.74.19
o 151.189.13.35
o 195.185.185.195
o 212.44.160.8

EMPFEHLUNGEN

Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

* Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
* Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
* Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
* Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
* Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
* Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
* Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
_________________
Ich bin euer Admin und stehe euch bei allen Fragen und Problemen zur Seite!!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Anzeige
BeitragVerfasst am: 03.07.2004, 18:26
BeitragTitel: Anzeige
Nach oben
Beiträge der letzten Zeit anzeigen:   
POWER BOARD Foren-Übersicht -> Aktuelle Viren Alle Zeiten sind GMT + 1 Stunde
Neues Thema eröffnen   Neue Antwort erstellen
Seite 1 von 1
Gehe zu:  

 
Du kannst Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.





phpBB 2.0.23
Template by BMan1


Thema 80041-80080 | Thema 509601-509640 | Thema 737761-737800

Impressum | Datenschutz

Bei iphpbb.com bekommen Sie ein Kostenloses Forum mit vielen tollen Extras