Auch neuer NetSky-Wurm verzichtet auf Mail-Anhang

Der neu entdeckte Wurm NetSky.V nutzt eine Sicherheitslücke im Internet Explorer vom August 2003, worüber der Wurm-Code beim Betrachten der entsprechenden E-Mail aus dem Internet geladen wird. Von dem Sicherheitsrisiko sind E-Mail-Clients wie Outlook Express betroffen, welche die Rendering-Engine des Internet Explorer zur Ansicht von HTML-Mails nutzen, da sich der Code unbemerkt vom Nutzer ins System einschleust.

Bereits im August 2003 veröffentlichte Microsoft einen Patch, um den oben genannten Fehler zu beheben, legte diesen aber später neu auf, so dass man den entsprechenden Sammel-Patch installieren sollte, falls dies noch nicht geschehen ist.

Wurde der Wurm-Code auf den Rechner geladen, installiert dieser sich selbsttätig und deaktiviert umgehend verschiedene laufende Virenscanner. Zudem durchsucht der Unhold etliche lokale Dateien nach E-Mail-Adressen, um sich mit einer eigenen SMTP-Engine an diese zu versenden und dabei - wie mittlerweile üblich - gefälschte Absenderadressen zu verwenden. Betreffzeile und Nachrichtentext werden aus englischsprachigen Textbausteinen zusammengesetzt und geben vor, eine per Software generierte E-Mail zu sein.

Wurde der Bösewicht auf einen Rechner geladen, trägt er sich so in die Registry ein, dass der Schädling bei jedem Windows-Neustart geladen wird. Der Unhold öffnet zudem die TCP-Ports 5556 und 5557 auf einem befallenen System. Zwischen dem 22. und 29. April 2004 versucht der Wurm, eine Denial-of-Service-Attacke gegen die Domains www.keygen.us, www.freemule.net, www.kazaa.com, www.emule.de und www.cracks.am durchzuführen.