W32.Netsky.Q@mm

POWER BOARD
Verfügbare Informationen zu "W32.Netsky.Q@mm"
  • Qualität des Beitrags: 0 Sterne
  • Beteiligte Poster: 20JahreOnkelz
  • Forum: POWER BOARD
  • Forenbeschreibung: Das ultimative Board
  • aus dem Unterforum: Aktuelle Viren
  • Antworten: 1
  • Forum gestartet am: Freitag 02.07.2004
  • Sprache: deutsch
  • Link zum Originaltopic: W32.Netsky.Q@mm
  • Letzte Antwort: vor 19 Jahren, 9 Monaten, 18 Tagen, 16 Stunden, 14 Minuten

    • Alle Beiträge und Antworten zu "W32.Netsky.Q@mm"

    Re: W32.Netsky.Q@mm

    20JahreOnkelz - 05.07.2004, 15:05

    W32.Netsky.Q@mm
    Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response W32.Netsky.Q@mm am 11. April 2004 von Kategorie 3 auf Kategorie 2 herabgestuft.

    Der Wurm W32.Netsky.Q@mm hat folgende Eigenschaften:

    * Er ist ein Massen-Mail-Wurm, der aus zwei Komponenten besteht: Einem "Dropper" (der Dateien auf dem infizierten Computer ablegt) und einer Massen-Mail-Komponente.
    * Er verwendet eine eigene SMTP-Engine, um sich selbst an die E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten findet.
    * Er nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, so dass er auf Systemen ohne Patch beim einfachen Lesen einer infizierten Nachricht oder beim Anzeigen einer Vorschau bereits automatisch ausgeführt wird.

    Die Absenderadresse der E-Mail ist gefälscht und Betreff und Nachrichtentext variieren. Der Name des Anhangs variiert ebenfalls und hat die Dateierweiterung .exe, .pif, .scr oder .zip.

    Hinweise:

    * Produkte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch, wenn sie versucht, den Computer zu infizieren.
    * Der Wurm besitzt den MD5-Hash-Wert 0x04871d17dbbd1911afc76aad6d9dbd20.
    * LiveUpdate-Virusdefinitionen, die am 28 März 2004 (US Pazifik-Zeit) erstellt und am 29. März 2004 (US Pazifik-Zeit) herausgebracht wurden, entdecken diese Bedrohung.
    * Symantec Security Response hat ein Programm zur Entfernung von W32.Netsky.Q@mm-Infektionen entwickelt.

    Auch bekannt als: W32/Netsky.Q@mm [McAfee], W32/Netsky-Q [Sophos], WORM NETSKY.Q [Trend], Win32.Netsky.Q [Computer Associates], I-Worm.NetSky.r [Kaspersky]

    Typ: Wurm
    Infektionslänge: 28.008 Byte



    Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
    Nicht betroffene Systeme: Linux, Macintosh, OS/2, UNIX, Windows 3.x
    CVE-Referenzen: CVE-2001-0154

    TECHISCHE DETAILS

    Bei Ausführung geht W32.Netsky.Q@mm folgendermaßen vor:

    1. Er kopiert sich selbst als %windows%\SysMonXP.exe (28.008 Byte).

    Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\Windows oder C:\Winnt) und kopiert sich dorthin.
    2. Er legt die Datei %Windir%\Firewalllogger.txt ab (23.040 Byte).

    Hinweis: Bei der Datei Firewalllogger.txt handelt es sich eigentlich um eine .dll-Datei. Diese Datei ist die Massen-Mail-Komponente des Wurms.
    3. Wenn der Dateiname des "Droppers" %windows%\SysMonXP.exe lautet, startet der Wurm die Anwendung notepad.exe, um eine Datei namens temp.eml zu öffnen.

    Hinweis: Die Datei ist möglicherweise jedoch nicht auf dem infizierten Computer vorhanden.
    4. Der Wurm lädt anschließend die .dll-Datei Firewalllogger.txt und führt sie aus.

    5. Er erstellt eine Mutex mit dem Namen "_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_", die bewirkt, dass nur eine Instanz des Wurms ausgeführt werden kann.

    6. Sie fügt den Wert

    "Sysmonxp"="%Windir%\SysMonXP.exe"

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    7. Er legt möglicherweise die folgenden temporären Dateien für seine internen Zwecke ab:
    * %Windir%\base64.tmp (38.382 Byte)
    * %Windir%\zippedbase64.tmp (28.330 Byte; .zip-Datei, die den Wurm enthält)
    * %Windir%\zipo0.txt (38.834 Byte; .zip-Datei, die den Wurm enthält)
    * %Windir%\zipo1.txt (38.822 Byte; .zip-Datei, die den Wurm enthält)
    * %Windir%\zipo2.txt (38.826 Byte; .zip-Datei, die den Wurm enthält)
    * %Windir%\zipo3.txt (38.826 Byte; .zip-Datei, die den Wurm enthält)

    8. Er löscht die folgenden Werte:
    * Explorer
    * system.
    * msgsvr32
    * au.exe
    * winupd.exe
    * direct.exe
    * jijbl
    * Video
    * service
    * DELETE ME
    * d3dupdate.exe
    * OLE
    * Sentry
    * gouday.exe
    * rate.exe
    * Taskmon
    * Windows Services Host
    * sysmon.exe
    * srate.exe
    * ssate.exe
    * Microsoft IE Execute shell
    * Winsock2 driver
    * ICM version
    * yeahdude.exe
    * Microsoft System Checkup

    Die oben stehenden Werte werden dabei aus diesen Registrierungsschlüsseln gelöscht:
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    * HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

    Dadurch versucht der Wurm, andere Würmer zu deinstallieren, die sich möglicherweise auf dem Computer befinden.

    9. Außerdem werden die folgenden Unterschlüssel gelöscht:
    * HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\PINF
    * HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
    * HKEY_CLASSES_ROOT\CLSID\CLSID\
    {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

    10. Der Wurm startet einen separaten Thread, bei dem alle Festplatten durchsucht und E-Mail-Adressen aus Dateien mit den folgenden Erweiterungen abgerufen werden:
    * .a
    * .ad
    * .adb
    * .as
    * .asp
    * .c
    * .cf
    * .cfg
    * .cg
    * .cgi
    * .d
    * .db
    * .dbx
    * .dh
    * .dht
    * .dhtm
    * .do
    * .doc
    * .e
    * .em
    * .eml
    * .h
    * .ht
    * .htm
    * .html
    * .j
    * .js
    * .jsp
    * .m
    * .mb
    * .mbx
    * .md
    * .mdx
    * .mh
    * .mht
    * .mm
    * .mmf
    * .ms
    * .msg
    * .n
    * .nc
    * .nch
    * .o
    * .od
    * .ods
    * .of
    * .oft
    * .p
    * .ph
    * .php
    * .pl
    * .pp
    * .ppt
    * .r
    * .rt
    * .rtf
    * .s
    * .sh
    * .sht
    * .shtm
    * .st
    * .stm
    * .t
    * .tb
    * .tbb
    * .tx
    * .txt
    * .u
    * .ui
    * .uin
    * .v
    * .vb
    * .vbs
    * .w
    * .wa
    * .wab
    * .ws
    * .wsh
    * .x
    * .xl
    * .xls
    * .xm
    * .xml

    Der Wurm sendet keine E-Mails an Adressen, die eine der folgenden Zeichenfolgen enthalten:
    * @antivi
    * @avp
    * @bitdefender
    * @fbi
    * @f-pro
    * @freeav
    * @f-secur
    * @kaspersky
    * @mcafee
    * @messagel
    * @microsof
    * @norman
    * @norton
    * @pandasof
    * @skynet
    * @sophos
    * @spam
    * @symantec
    * @viruslis
    * abuse@
    * noreply@
    * ntivir
    * reports@
    * spam@

    11. Er verwendet eine eigene SMTP-Client-Engine, um sich selbst an die im obigen Schritt gefundenen E-Mail-Adressen zu senden.

    Die erstellte E-Mail-Nachricht besitzt folgende Merkmale:

    Betreff: [Willkürlicher_Betreff] ([Email_Adresse_des_Empfängers])

    Dabei wird die Zeichenfolge [Willkürlicher_Betreff] beliebig aus der folgenden Liste ausgewählt:
    * Deliver Mail
    * Delivered Message
    * Delivery
    * Delivery Bot
    * Delivery Error
    * Delivery Failed
    * Delivery Failure
    * Error
    * Failed
    * Failure
    * Mail Delivery failure
    * Mail Delivery System
    * Mail System
    * Server Error
    * Status
    * Unknown Exception

    Beispiel:
    Error (irgendeinname@irgendeinedomäne.com)

    Nachrichtentext: (Eine der folgenden Zeilen)
    * Delivery Agent - Translation failed
    * Delivery Failure - Invalid mail specification
    * Mail Delivery - This mail couldn't be displayed
    * Mail Delivery Error - This mail contains unicode characters
    * Mail Delivery Failed - This mail couldn't be represented
    * Mail Delivery Failure - This mail couldn't be shown.
    * Mail Delivery System - This mail contains binary characters
    * Mail Transaction Failed - This mail couldn't be converted

    Anschließend wird die folgende Zeichenfolge angehängt:

    ------------- failed message -------------

    Danach werden willkürlich generierte Zeichen angehängt.
    Am Ende der Nachricht steht eine der folgenden Zeilen (willkürlich gewählt):
    * Note: Received message has been sent as a binary file.
    * Modified message has been sent as a binary attachment.
    * Received message has been sent as an encoded attachment.
    * Translated message has been attached.
    * Message has been sent as a binary attachment.
    * Received message has been attached.
    * Partial message is available and has been sent as a binary attachment.
    * The message has been sent as a binary attachment.

    Der Nachrichtentext kann auch durch die folgende Zeichenfolge angehängt werden:

    Or you can view the message at:
    www.[Empfänger_Domäne]/inmail/[Empfänger_Name]/mread.php?
    sessionid-[Willkürliche_Nummer]

    Hinweis: [Empfänger_Domäne] und [Empfänger_Name] sind die Komponenten, aus denen die E-Mail-Adresse des Empfängers besteht.

    Anhang: [Willkürlicher_Dateiname][Willkürliche_Nummer][Willkürliche_Erweiterung].
    Dabei wird die Zeichenfolge [Willkürlicher_Dateiname] beliebig aus der folgenden Liste ausgewählt:
    * data
    * mail
    * msg
    * message

    [Willkürliche_Nummer] besteht aus mehreren beliebigen Ziffern.
    Die [Willkürliche_Erweiterung] ist entweder .pif oder .zip.

    Wenn der Anhang eine .zip-Datei ist, so wird der Name der im Archiv enthaltenen Datei aus der folgenden Liste ausgewählt:
    * data.eml[100 Leerzeichen].scr
    * mail.eml[100 Leerzeichen].scr
    * msg.eml[100 Leerzeichen].scr
    * message.eml[100 Leerzeichen].scr

    Hinweis: [100 Leerzeichen] steht für 100 Leerzeichen, die verwendet werden, damit die tatsächliche Erweiterung der Virusprogrammdatei nicht in dem Programm angezeigt wird, mit dem die .zip-Dateien geöffnet werden.
    # Der Wurm überprüft die Systemzeit und das Datum. Am 30. März 2004 um 5:11 Uhr (Computerdatum) fängt der Computer dann an zu piepen.

    # Wenn das Systemdatum auf den 8. bis 11. April 2004 eingestellt ist, versucht der Wurm, einen Denial-of-Service-Angriff auf die folgenden Websites zu starten:

    o www.edonkey2000.com
    o www.kazaa.com
    o www.emule-project.net
    o www.cracks.am
    o www.cracks.st

    # Der DoS-Angriff erfolgt folgendermaßen:

    1. Der Wurm erstellt 80 Threads und jeder Thread wählt willkürlich den Namen einer der oben (in Schritt 13) aufgeführten fünf Sites aus.
    2. Jeder Thread versucht, eine Verbindung zu der ausgewählten Site herzustellen.
    3. Wenn die Verbindung nicht hergestellt werden kann, versucht es der Thread in Abständen von jeweils 45 Minuten so lange, bis die Verbindung hergestellt werden kann.
    4. Wenn die Verbindung besteht, sendet der Wurm eine leere GET-Anfrage (er wartet nicht auf eine ACK-Meldung).

    Die Anfrage lautet wie folgt:

    GET / HTTP/1.1\r\nHost: <Site-Name>[zwei leere Zeilen]

    Beispiel:

    GET / HTTP/1.1\r\nHost: www.cracks.st
    5. Der Thread schließt die Verbindung, wartet 250 Millisekunden ab und führt Schritt b dann erneut aus.

    Hinweis:
    * Die oben beschriebene Routine wird nur dann beendet, wenn der Prozess gestoppt wird.
    * Mithilfe einer IDS-Lösung kann DoS-Verkehr erkannt werden, indem Verbindungen zu den fünf Websites herausgefiltert werden und nach leeren GET-Anfragen gesucht wird. Anhand der IP-Adresse, von der die Anfrage stammt, kann dann der infizierte Computer identifiziert werden und die Infektion kann mit dem Entfernungsprogramm beseitigt werden.


    Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken


    Weitere Beiträge aus dem Forum POWER BOARD

    Songtexte!!! - gepostet von driver87 am Freitag 02.07.2004


    Ähnliche Beiträge wie "W32.Netsky.Q@mm"

    W32.Sasser.B.Worm - driver87 (Samstag 03.07.2004)
    W32.Korgo.F - 20JahreOnkelz (Montag 05.07.2004)
    W32.Netsky.Y@mm - driver87 (Samstag 03.07.2004)
    W32.Sober.F@mm - 20JahreOnkelz (Montag 05.07.2004)

    Menü

    iphpbb Statistik

    weitere Themen

    Thema 80041-80080
    Thema 509601-509640
    Thema 737761-737800