Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Netsky K + P - Virus!  (Gelesen 1786 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Psychodelik

  • Gast
Netsky K + P - Virus!
« am: 17. März 2004, 12:20:40 »

Tach Fans,

habe infos über Netsky K. Hab mir gedacht, vielleicht schadet es nicht, euch entsprechende Infos zukommen zu lassen. Die Quelle ist direkt bei Symantec.

Bei Ausführung geht W32.Netsky.K@mm folgendermaßen vor:


Er erzeugt eine Mutex mit dem Namen \"LK[SkyNet.cz]SystemsMutex.\" Durch diese Mutex kann nur eine Instanz des Wurms ausgeführt werden.


Er kopiert sich selbst nach %Windir%\\winlogon.exe.


--------------------------------------------------------------------------------
Hinweis: %Windir% ist eine Variable. Der Wurm sucht den Windows-Installationsordner (üblicherweise C:\\Windows oder C:\\Winnt) und kopiert sich dorthin.
--------------------------------------------------------------------------------


Er fügt den Wert

\"ICQ Net\"=\"%Windir%\\winlogon.exe -stealth\"

dem folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.


Er löscht die Werte

\"Taskmon\"
\"Explorer\"
\"KasperskyAv\"
\"system.\"
\"msgsvr32\"
\"DELETE ME\"
\"service\"
\"Sentry\"
\"Windows Services Host\"

aus dem Registrierungsschlüssel

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run


Er löscht den Wert

system.

aus dem Registrierungsschlüssel

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
RunServices


Er löscht die Werte

\"Taskmon\"
\"Explorer\"
\"KasperskyAv\"
\"d3dupdate.exe\"
\"au.exe\"
\"OLE\"
\"Windows Services Host\"

aus dem Registrierungsschlüssel

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run


Er löscht die Registrierungsschlüssel

HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\
InProcServer32

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\PINF

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\WksPatch


--------------------------------------------------------------------------------
Hinweis: Die Würmer W32.Mydoom.A@mm und W32.Mydoom.B@mm fügen dem ersten Schlüssel einen Wert hinzu, durch den explorer.exe die Hintertür (\"Backdoor\")-Komponenten dieser Bedrohungen lädt.
--------------------------------------------------------------------------------


Er sammelt auf den Laufwerken C bis Y E-Mail-Adressen aus Dateien mit den folgenden Dateierweiterungen:

.dhtm
.cgi
.shtm
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml


--------------------------------------------------------------------------------
Hinweis: Aufgrund eines Fehlers im Code durchsucht der Wurm eine Datei auch dann nach E-Mail-Adressen, wenn die Dateierweiterung eine Unter-Zeichenfolge einer der oben genannten Erweiterungen ist.

Zum Beispiel durchsucht der Wurm Dateien mit den Erweiterungen .txt, .tx und .t .
--------------------------------------------------------------------------------


Er verwendet eine eigene SMTP-Engine, um sich selbst an die im obigen Schritt gefundenen E-Mail-Adressen zu senden. Der Wurm verwendet den lokalen DNS-Server (der über eine API aufgerufen wird), falls dieser verfügbar ist, und führt eine MX-Suche nach der Empfängeradresse durch. Wenn der lokale DNS-Server nicht verfügbar ist, führt er die Suche über die folgende Liste der in den Code des Wurms geschriebenen Server durch:

212.44.160.8
195.185.185.195
151.189.13.35
213.191.74.19
193.189.244.205
145.253.2.171
193.141.40.42
194.25.2.134
194.25.2.133
194.25.2.132
194.25.2.131
193.193.158.10
212.7.128.165
212.7.128.162
193.193.144.12
217.5.97.137
195.20.224.234
194.25.2.130
194.25.2.129
212.185.252.136
212.185.253.70
212.185.252.73
62.155.255.16


Die E-Mail besitzt folgende Merkmale:

Von: (Gefälscht)

Betreff: Die Betreffzeile kann eine der folgenden sein:

Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document

Nachricht: Die Nachricht kann folgendermaßen lauten:

Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.

Anhang: Der Anhang kann einer der folgenden sein:

your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif


Der Wurm sendet keine E-Mails an Adressen, die eine der folgenden Zeichenfolgen enthalten:

skynet
messagelabs
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
spam
ymantec
antivi
icrosoft


Wenn die Systemzeit Dienstag, der 02. März 2004 zwischen 6.00 Uhr und 9.00 Uhr ist, so piepen die Computerlautsprecher ununterbrochen. Die Länge und Häufigkeit der Pieptöne ist dabei willkürlich.


5400-Serie von Symantec Gateway Security und Symantec Gateway Security v1.0
Virenschutzkomponente: Es ist eine Aktualisierung für die Symantec Gateway Security AntiVirus-Engine verfügbar, die Ihr System vor W32.Netsky.K@mm schützt. Benutzern von Symantec Gateway Security 5xxx wird empfohlen, LiveUpdate auszuführen.
IDS/IPS-Komponente: Zurzeit ist für diesen Wurm keine Aktualisierung geplant.
Vollständige Anwendungsinspektions-Firewall-Komponente: Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor der Verbreitung des Wurms W32.Netsky.K@mm, indem sie infizierte Systeme so blockiert, dass E-Mail nicht direkt in das Internet gesendet wird.

Symantec Enterprise Firewall 7.0.x und Symantec VelociRaptor 1.5
Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie standardmäßig vor der Verbreitung des Wurms W32.Netsky.K@mm, indem sie infizierte Systeme so blockiert, dass E-Mail nicht direkt in das Internet gesendet wird.

Symantec Clientless VPN Gateway
Symantec Clientless VPN Gateway v5.0 kann Sie vor diesem Wurm schützen, wenn sie in Kombination mit einem SGS 5400-Sicherheits-Gateway eingesetzt wird, das zum Prüfen aller E-Mail-Verbindungen konfiguriert wurde. Um das Risiko einer weiteren Verbreitung zu reduzieren, sollten Sie eine Regel konfigurieren, die lediglich den Mail-Zugriff von authentifizierten Remote-Benutzern auf Ihren internen Mail-Server zulässt.

Symantec Firewall/VPN 100/200 Appliances
Um das Risiko einer weiteren Verbreitung zu reduzieren, stellen Sie sicher, dass Sie eine Regel konfiguriert haben, die eingehende bzw. ausgehende Mail nur an bzw. von Ihrem Mail-Server zulässt.
Gespeichert

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
Netsky K + P - Virus!
« Antwort #1 am: 17. März 2004, 18:49:30 »

Danke für die Wertvollen Info\'s...... :)
Gespeichert

Slayer

  • Haudegen
  • ****
  • :
  • Offline Offline
  • Beiträge: 645
Microsoft Windows
« Antwort #2 am: 22. März 2004, 20:12:33 »

Windows oder die warscheinlich größtesicherheitslücke der Welt
Gespeichert
Memtest; Biosagent; ctSPD; windiagmsconfig  
Unter diesem Link

der Notnagel

  • Administrator
  • *****
  • :
  • Offline Offline
  • Beiträge: 28.716
  • Der Affe arbeitet nicht bei MSI
W32.Netsky.P@mm
« Antwort #3 am: 23. März 2004, 20:39:23 »

W32.Netsky.P@mm
der aktuelle Viruswurm heißt W32.Netsky.P@mm.

W32.Netsky.P@mm ist ein Massenmailing-Wurm. Er verbreitet sich wie seine Vorgänger mit einer eigenen SMTP-Maschine per E-Mail-Nachricht. Weiterhin verbreitet er sich über Tauschbörsen und durch Ausnutzung einer älteren Schwachstelle im Internet Explorer (Incorrect MIME Header Can Cause IE to Execute E-mail Attachment ), bei der er beim Lesen der E-Mail-Nachricht automatisch aktiviert wird. Betroffen sind die ungepatchten Versionen des Internet Explorer 5.01 und 5.5.

Weitere Einzelheiten in deutsch mit allen wichtigen Hinweisen zur Bekämpfung hier beim BSI (Bundesamt für Sicherheit in der Informationstechnik)

der Notnagel
Gespeichert
der Notnagel

Fragen zum BIOS-Update? BIOS-Update im Detail und Das Flashen einer Grafikkarte
Vor dem Update beachten: Woran erkenne ich, welches Board ich habe und Die Grafikkarte richtig erkennen
Unterstützung bei BIOS-Problemen nur bei vollständiger Angabe des installierten BIOS (z.B A7226NMS.150)
Grundsätzlich Kein Support über PN, ICQ, Skype, WhatsAPP und dgl...