Hinweis

Ihre Browserversion wird leider nicht mehr unterstüzt. Dies kann dazu führen, dass Webseiten nicht mehr fehlerfrei dargestellt werden und stellt ein erhebliches Sicherheitsrisiko dar. Wir empfehlen Ihnen, Ihren Browser zu aktualisieren oder einen der folgenden Browser zu verwenden:

Der neue Internetwurm NetSky wird als sehr gefährlich und mit hohem Schadenspotential eingestuft. Inzwischen gibt es zwei Varianten davon.

NetSky-Wurm in mehreren Varianten

Die Antivirenspezialisten warnen vor dem neuen Wurm W32.Netsky.b, der sich derzeit per E-Mail weltweit verbreitet. Die Virenspezialisten stufen das Schadens- und Verbreitungspotenzial der Malware als hoch ein.
Es wird von Infektionen in Japan, Deutschland, Schweden, Großbritannien und den Niederlanden berichtet. Der 22 KByte kleine Wurm-Code steckt wie gewohnt in einem Mail-Anhang. Um sich als ausführbare Datei unerkenntlich zu machen, weist der 22 KByte große Dateianhang eine doppelte Endung auf oder kommt als ZIP- Als ersten Teil der Endung gibt TrendMicro "txt", "rtf", "doc" oder "html" an. Der zweite Teil endet mit "exe", "scr", "com" oder "pif". Der Code sei jedoch in der ZIP-Variante noch gefährlicher, da Mailanhänge mit der Endung "zip" von einigen Scannern von Mailgateways nicht als kritisch behandelt werden.
Nach ersten Analysen kopiert sich der Schädling als "services.exe" in den Windows-Ordner sowie in Verzeichnisse, deren Namen entweder "share" oder "sharing“ beinhalten. Durch Eintrag in die Registry wird der Wurm bei jedem Windows-Start ausgeführt.
Er löscht laut der Analyse von Symantec zudem die Werte "Taskmon" und "Explorer" aus den entsprechenden Windows-Registrierungsschlüsseln. Ähnlich verfährt er auch mit dem Registrierungswert "KasperskyAV".
Auf dem infizierten Computer suche Netsky.b nach E-Mail-Adressen aus allen erdenklichen Dateien. Zur Vermehrung nutzt Netsky.b eine eigene SMTP-Engine.
Weiterhin ist seit wenigen Tagen W32.Netsky.C unterwegs.Trend Micro warnt vor einer neuen Variante des E-Mail-Wurms W32.Netsky mit der Versionsnummer "C". Das Schadens- und Verbreitungspotenzial des Schädlings stuft der Antivirenspezialist als hoch ein.
Wie sein erst vor wenigen Tagen erschienener Vorgänger Netsky.b kommt auch Netsky.C per E-Mail als angehängte Datei. In der Betreffzeile der infizierten E-Mail stehen Formulierungen wie "Question,""Fwd: lol," oder auch "Re: hey" zu lesen.
Beim Öffnen des Attachments lege der Wurm die Datei "winlogon.exe" im Systemverzeichnis ("System32") von Windows ab. Kopien davon speichert der Wurm zudem in verschiedenen freigegebenen Verzeichnissen. Nach Erkenntnissen von TrendMicro verwende Netsky.C dabei Dateinamen wie "Adobe Photoshop 9 full.exe", "Microsoft Office 2003 Crack.exe" oder "Win Longhorn Beta.exe".Um sich zu verbreiten, verfügt auch Netsky.C über eine eigene SMTP-Engine. Gefährdet sind Computer mit den Betriebsystemen Windows. Netsky.c versucht diverse Registrierungseinträge zu löschen, darunter auch diejenigen von Antivirensoftware. Laut dem Antivirenexperten Sophos kann es vorkommen, dass der Rechner sporadisch einen Piepton von sich gibt, wenn der Rechner am 26. Februar zwischen 6 und 9 Uhr gestartet wird. Trend Micro und Sophos haben die Signaturen ihrer Virenscanner bereits auf die Abwehr von Netsky.c angepasst, von anderen Herstellern von Antiviren-Software ist dies ebenfalls zu erwarten.
Symantec bietet bereits ein Tool zum erkennen und entfernen des Wurmes an.