Wurm Netsky.B verbreitet sich rasant im Internet

Wurm nutzt Neugierde der Anwender

Nachdem der Wurm Bagle.B sich seit dem 18. Februar 2004 massiv per E-Mail verbreitet, bekommt er nur einen Tag später Gesellschaft von dem Unhold Netsky.B. Auch dieser Wurm hat sich bereits wenige Stunden nach Erscheinen massiv im Internet vermehrt. Offenbar scheinen die Anwender aus den jüngsten Erfahrungen wenig gelernt zu haben, da sich Netsky.B ohne die Neugierde der Anwender und aktuell installierte Virenscanner nicht verbreiten könnte.

Artikel veröffentlicht am ,

Der Wurm Netsky.B verbreitet sich per E-Mail und trägt den Wurm-Code in einer an die Mail angehängten Datei, die entweder in einem Zip-Archiv steckt oder doppelte Dateiendungen aufweist. So kann der erste Teil der Endung txt, rtf, doc oder html lauten, während der zweite Teil auf exe, scr, com oder pif endet. Unter Umständen befindet sich der Wurm-Code auch in einem komprimierten Zip-Archiv. Wird die Wurm-Datei manuell geöffnet, erscheint eine fingierte Fehlermeldung, während sich der Schädling auf den Rechner kopiert. Wie bereits der Wurm Bagle.B macht sich auch Netsky.B lediglich die Neugierde der Empfänger für seine Verbreitung zu Nutze und verwendet nicht etwa eine Sicherheitslücke in einem E-Mail-Client.

Stellenmarkt
  1. IT-Security-Consultant (m/w/d) Penetration Tester
    SySS GmbH, Tübingen, Frankfurt, München
  2. Operations Technician
    über Page Personnel Deutschland GmbH, Hamburg
Detailsuche

Eine von Netsky.B versandte E-Mail ist nicht ohne weiteres zu erkennen, da sowohl Betreffzeile als auch Nachrichtentext aus einem Fundus englischsprachiger Textteile zusammengestellt sind. Zudem wird eine gefälschte Absenderadresse verwendet, um die Herkunft des infizierten Systems zu verschleiern. Der Wurm kopiert sich unter anderem unter dem Namen services.exe in das Windows-Verzeichnis, legt sich dort aber auch unter 40 weiteren Namen als Zip-Archiv ab. Durch entsprechende Eintragung in die Registry sorgt der Wurm dafür, bei jedem Windows-Start automatisch geladen zu werden. Auf einem befallenen System durchsucht der Wurm etliche lokale Dateien - wie etwa solche mit den Endungen html, htm, txt, adb, doc oder auch msg - nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese.

Als weitere Schadroutine kopiert Netsky.B sich selbst unter wechselnden Dateinamen in zahlreiche über den Rechner erreichbare Verzeichnisse, sofern diese den Namensteil "share" oder "sharing" tragen. Dabei geben die gewählten Dateinamen vor, dass es sich um sexuelle Inhalte oder Cracks von Software handele, um Nutzer dazu zu bringen, diese zu öffnen.

Die Hersteller von Antiviren-Software bieten bereits aktualisierte Signaturdateien für die entsprechenden Virenscanner an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


panzi 16. Apr 2004

Cool. Dachte schon das wird hier ein flamewar, aber anscheinend sind wir beide keine...

nomad 16. Apr 2004

Nein NT basierte Windosen nutzen C:\WINNT als Standardpfad. Dem OS ist es doch wurscht...

panzi 15. Apr 2004

Hmm, naja hat XP nicht auch C:\Windows? Jedoch kann auch jedes NT basierte Win auf fat32...

nomad 15. Apr 2004

Nein, ich meine generellen NTFS Support, dieser ist in keiner Linux Distribution...

panzi 15. Apr 2004

Ach du meinst das Knoppix das die Win2k NTFS Treiber mit wine verwendet? Wenn das Fehler...



Aktuell auf der Startseite von Golem.de
iPhone 13
Neue Benchmark-Ergebnisse für Apples A15 Bionic

Ergebnisse des Geekbench-Benchmarks zeigen, dass das iPhone 13 Pro wie erwartet im GPU-Bereich deutlich zugelegt hat.

iPhone 13: Neue Benchmark-Ergebnisse für Apples A15 Bionic
Artikel
  1. Zum Tod von Sir Clive Sinclair: Der ewige Optimist
    Zum Tod von Sir Clive Sinclair
    Der ewige Optimist

    Mit Clive Sinclair ist einer der IT-Pioniere Europas gestorben. Der Brite war viel mehr als nur der Unternehmer, der mit den preiswerten ZX-Heimrechnern die Mikrocomputer-Revolution vorantrieb.
    Ein Nachruf von Martin Wolf

  2. Chiphersteller: Infineon eröffnet automatisierte Chipfabrik in Österreich
    Chiphersteller
    Infineon eröffnet automatisierte Chipfabrik in Österreich

    Der deutsche Konzern Infineon wird viel Geld in die Forschung von 300-mm-Thin-Wafern stecken. Das Werk in Villach ist das größte im Land.

  3. Bürosuite: Kaufversion von Microsoft Office 2021 kommt im Oktober
    Bürosuite
    Kaufversion von Microsoft Office 2021 kommt im Oktober

    Wer Office nicht abonnieren, sondern kaufen will, kann ab 5. Oktober 2021 die neue Version Office 2021 erwerben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED (2021) 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD (u. a. Zombieland 1 & 2 29,99€) • Alternate (u. a. Netgear-Repeater 26,90€) • iPhone 12 Pro 256GB 989€ [Werbung]
    •  /