Wurm Netsky.B verbreitet sich rasant im Internet

Der Wurm Netsky.B verbreitet sich per E-Mail und trägt den Wurm-Code in einer an die Mail angehängten Datei, die entweder in einem Zip-Archiv steckt oder doppelte Dateiendungen aufweist. So kann der erste Teil der Endung txt, rtf, doc oder html lauten, während der zweite Teil auf exe, scr, com oder pif endet. Unter Umständen befindet sich der Wurm-Code auch in einem komprimierten Zip-Archiv. Wird die Wurm-Datei manuell geöffnet, erscheint eine fingierte Fehlermeldung, während sich der Schädling auf den Rechner kopiert. Wie bereits der Wurm Bagle.B macht sich auch Netsky.B lediglich die Neugierde der Empfänger für seine Verbreitung zu Nutze und verwendet nicht etwa eine Sicherheitslücke in einem E-Mail-Client.

Eine von Netsky.B versandte E-Mail ist nicht ohne weiteres zu erkennen, da sowohl Betreffzeile als auch Nachrichtentext aus einem Fundus englischsprachiger Textteile zusammengestellt sind. Zudem wird eine gefälschte Absenderadresse verwendet, um die Herkunft des infizierten Systems zu verschleiern. Der Wurm kopiert sich unter anderem unter dem Namen services.exe in das Windows-Verzeichnis, legt sich dort aber auch unter 40 weiteren Namen als Zip-Archiv ab. Durch entsprechende Eintragung in die Registry sorgt der Wurm dafür, bei jedem Windows-Start automatisch geladen zu werden. Auf einem befallenen System durchsucht der Wurm etliche lokale Dateien – wie etwa solche mit den Endungen html, htm, txt, adb, doc oder auch msg – nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese.