Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Worm/NetSky.B  (Gelesen 1493 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
Worm/NetSky.B
« am: 22. Februar 2004, 20:05:25 »

Worm/NetSky.B

Kurzinformationen
Virusname:     Worm/NetSky.B
Alias:                  Moodown.B
Viren Typ:       Wurm
Dateigröße:      22.016 Bytes
Betriebsysteme:     Microsoft Windows 9x/NT/2000/XP
Ursprung:        unbekannt
Datum:                18.02.2004
Schadensroutine:     Emailversand
VDF Version:      6.24.00.09


Allgemeine Beschreibung:

 Worm/NetSky.B ist ein reiner Massenmailer, welcher aber auch in der Lage ist sich über freigegebene Verzeichnisse zu verbreiten. Er hat eine Dateigröße von 22016 Bytes und ist mit dem Laufzeitpacker UPX gepackt.

Symptome:


  *Beim Aufruf wird eine gefälschte Meldung mit folgendem Text ausgegeben:

  \"The file could not be opend!\"


Infektionsweg:

  * Emailversand
  * freigegebene Verzeichnisse

Technische Details:

Worm/NetSky.B hat eine Größe von 22.016 Bytes und ist mit dem Laufzeitpack UPX gepackt. Wird die virulente Anwendung ausgeführt, kopiert sich der Wurm in das Windows-Verzeichnis unter dem Dateinamen SERVICES.EXE. Anschließend erstellt der Wurm folgenden Registry Eintrag:

    * [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
      CurrentVersion\\Run]
      \"service\"=\"C:\\\\WINDOWS\\\\services.exe -serv\"

Der Wurm löscht die Registry-Einträge, die einen der folgenden Werte besitzen:

    * [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
      \"Taskmon\"
      \"Explorer\"
      \"system.\"
      \"KasperskyAv\"
       
    * [HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
      \"Taskmon\"
      \"Explorer\"
       
    * [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
      \"system.\"

Worm/NetSky durchsucht Dateien mit folgenden Dateierweiterungen nach Emailadressen:

    * .msg
    * .oft
    * .sht
    * .dbx
    * .tbb
    * .adb
    * .doc
    * .wab
    * .asp
    * .uin
    * .rtf
    * .vbs
    * .html
    * .htm
    * .pl
    * .php
    * .txt
    * .eml

Findet der Wurm ein Verzeichnis, welches mit den Worten *Share* oder *sharing* benannt ist, kopiert er sich in dieses mit folgenden Dateinamen:

    * winxp_crack.exe
    * dolly_buster.jpg.pif
    * strippoker.exe
    * photoshop 9 crack.exe
    * matrix.scr
    * porno.scr
    * angels.pif
    * hardcore porn.jpg.exe
    * office_crack.exe
    * serial.txt.exe
    * cool screensaver.scr
    * eminem - lick my pussy.mp3.pif
    * nero.7.exe
    * virii.scr
    * e-book.archive.doc.exe
    * max payne 2.crack.exe
    * how to hack.doc.exe
    * programming basics.doc.exe
    * e.book.doc.exe
    * win longhorn.doc.exe
    * dictionary.doc.exe
    * rfc compilation.doc.exe
    * sex sex sex sex.doc.exe
    * doom2.doc.pif

Ist eine Verbindung zum Internet aktiv, versendet der Wurm sich als .EXE oder als ZIP Archiv selbst. Versendet er sich als ZIP Archiv, so stellt er die Dateinamen aus folgenden Wörtern zusammen:

    * document
    * msg
    * doc
    * talk
    * message
    * creditcard
    * details
    * attachment
    * me
    * stuff
    * posting
    * textfile
    * concert
    * information
    * note
    * bill
    * swimmingpool
    * product
    * topseller
    * ps
    * shower
    * aboutyou
    * nomoney
    * found
    * story
    * mails
    * website
    * friend
    * jokes
    * location
    * final
    * release
    * dinner
    * ranking
    * object
    * mail2
    * part2
    * disco
    * party
    * misc

Als erste Dateierweiterung wird eine der folgenden Extensions angehängt:

    * .txt
    * .rtf
    * .doc
    * .htm

und als zweite Dateierweiterung wird entweder .exe, .scr, .com oder .pif ausgewählt.

Der Betreff der versandten Email wird aus einem der folgenden Punkte ausgewählt:

    * hi
    * hello
    * read it immediately
    * something for you
    * warning
    * information
    * stolen
    * fake
    * unknown

Der Emailbody wird aus einem der folgende Punkte gewählt:

    * anything ok?
    * what does it mean?
    * ok
    * i\'m waiting
    * read the details.
    * here is the document.
    * read it immediately!
    * my hero
    * here
    * is that true?
    * is that your name?
    * is that your account?
    * i wait for a reply!
    * is that from you?
    * you are a bad writer
    * I have your password!
    * something about you!
    * kill the writer of this document!
    * i hope it is not true!
    * your name is wrong
    * i found this document about you
    * yes, really?
    * that is bad
    * here it is
    * see you
    * greetings
    * stuff about you?
    * something is going wrong!
    * information about you
    * about me
    * from the chatter
    * here, the serials
    * here, the introduction
    * here, the cheats
    * that\'s funny
    * do you?
    * reply
    * take it easy
    * why?
    * thats wrong
    * misc
    * you earn money
    * you feel the same
    * you try to steal
    * you are bad
    * something is going wrong
    * something is fool


Entfernungshinweise:


- Manuell bei Windows 2000/XP:
Um den Virus von Hand zu entfernen, sollten sie sich im abgesicherten Modus befinden. Drücken Sie die F2-Taste bevor das Bootlogo von Windows erscheint und die Option \'Abgesicherter Modus\' wählen. Löschen Sie folgende Dateien:

    * \\%WinDIR%\\SERVICE.EXE

Gehen Sie auf Start und wählen Sie \'Ausführen\'. Geben Sie im angezeigten Fenster \'regedit\' ein und löschen folgende Registry Einträge:

    * [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
      CurrentVersion\\Run]
      \"service\"=\"C:\\\\WINDOWS\\\\services.exe -serv\"

Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostartordner und entfernen Sie diese gegebenenfalls.

- Manuell bei Windows 9x/Me:
Um den Virus von Hand zu entfernen, sollten sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und die Option \'Abgesicherter Modus\' wählen. Löschen Sie folgende Dateien:

    * \\%WinDIR%\\SERVICE.EXE

Gehen Sie auf Start und wählen Sie \'Ausführen\'. Geben Sie im angezeigten Fenster \'regedit\' ein und löschen folgende Registry Einträge:

    * [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
      CurrentVersion\\Run]
      \"service\"=\"C:\\\\WINDOWS\\\\services.exe -serv\"

Starten Sie den Computer neu und anschließend  den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostartordner und entfernen Sie diese gegebenenfalls.




Quelle: Free-av
Gespeichert