W32/Netsky.X, Y und Z

Die drei hier beschriebenen Varianten des weit verbreiteten Netsky-Wurms [1] sind sich recht ähnlich.

***W32/Netsky.X***

Kennzeichen der Mails:

Verschiedene Betreffzeilen und sehr kurze Begleittexte, in unterschiedlichen Sprachen. Die Beilage heisst in der deutschsprachigen Variante "dokument.pif" und in der englischen "document.pif". Die Absenderadresse ist stets gefälscht; d.h. die Wurmmail kam nicht von der Firma oder Person, die bei solchen Mails als Absender drin steht.

Installation im System:

Wird die Datei ausgeführt, legt der Wurm eine Datei namens "FirewallSvr.exe" im Windows-Ordner ab (also z.B. in C:\Winnt oder C:\Windows). Diese trägt er in der Windows-Registry in diesem Zweig ein:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: "FirewallSvr" = "%WinDir%\FirewallSvr.exe"

Ebenfalls im Windows-Ordner legt er eine weitere (textcodierte) Kopie von sich selber ab, und zwar unter dem Namen "fuck_you_bagle.txt".

Schäden/Auswirkungen:

Durch die Massenmails, die solche Würmer von infizierten PCs aus automatisch verschicken, werden Mailserver strapaziert und Postfächer mit Wurm-Müll überflutet. Ein grosses Sicherheitsrisiko ist die Hintertüre, die der Wurm im TCP-Port Nummer 82 öffnet. Durch diese kann ein Angreifer weitere ausführbare Dateien ins System einschleusen und sofort ausführen lassen.

Wie andere Netsky-Varianten zuvor, führt auch Netsky.X eine Denial-of-Service-Attacke aus. Diesmal trifft es zwischen dem 28. und 30. April 2004 diese Webseiten: www.nibis.de, www.medinfo.ufl.edu und www.educa.ch.

Beseitigung:

Vor dem Entfernen des Wurms müssen Benutzer von Windows Me und XP die Systemwiederherstellungs-Funktion ausschalten. Wie dies geht, steht in einem Kummerkasten-Beitrag unter Webcode 26316 [2].

Die manuelle Beseitigung des Wurms besteht darin, im Registry-Editor den oben erwähnten Eintrag zu entfernen. Nach einem anschliessenden PC-Neustart können die Wurm-Dateien entfernt werden.

Wer nicht gern selber die Registry anfasst, kann bei F-Secure [3] ein Beseitigungs-Tool herunterladen, entzippen und ausführen. Mit diesem lässt sich Netsky.X entfernen.

Infos:

Ausser bei F-Secure finden sich Informationen über Netsky.X auch bei McAfee [4] und bei Symantec [5]; letztere ebenfalls mit einem Beseitigungs-Tool.

***W32/Netsky.Y***

Kennzeichen der Mails:

Die Absenderadresse ist stets gefälscht. Der Betreff beginnt immer mit "Delivery failure notice", gefolgt von einer zufälligen ID-Nummer. Die Beilage gaukelt vor, eine Web-Adresse mit Endung .com zu sein, etwa nach dem Muster: "www.(ein Domain Name).(ein Benutzername).(eine Nummer).com". Im Mailtext steht entweder "Partial" oder "External" oder "New" oder "Delivered", gefolgt von "message is available".

Installation im System:

Genau gleich wie Netsky.X (siehe oben).

Schäden/Auswirkungen:

Genau gleich wie Netsky.X.

Beseitigung:

Genau gleich wie Netsky.X.

Infos:

Detaillierte Infos über Netsky.X finden Sie beispielsweise bei F-Secure [6], McAfee [7] und Symantec [8].

***W32/Netsky.Z***

Kennzeichen der Mails:

Die Absenderadresse ist gefälscht. Der Betreff ist einer von diesen: "Document", "Hello", "Hi", "Important" oder "Information". Im Mailtext steht meist nur "Important", gefolgt von einem weiteren Wort, also etwa "Important details!". Die Beilage kann ebenfalls unterschiedliche Namen haben, ist aber stets eine Zip-Datei.

Installation im System:

Wird die Datei ausgeführt, legt der Wurm eine Datei namens "Jammer2nd.exe" im Windows-Ordner ab (also z.B. in C:\Winnt oder C:\Windows). Diese trägt er in der Windows-Registry in diesem Zweig ein:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: "Jammer2nd" = "%WinDir%\Jammer2nd.exe"

Zusätzlich legt der Wurm textcodierte Kopien von sich selber auf dem System ab, mit Namen wie "PK_ZIP(eine Zahl).LOG".

Schäden/Auswirkungen:

Genau wie Netsky.X und Y, mit dem Unterschied, dass die DoS-Attacke (auf dieselben Server) erst vom 2. bis zum 5. Mai 2004 stattfindet und dass Netsky.Z auf einer anderen TCP-Port-Nummer lauscht, nämlich 665.

Beseitigung:

Vor dem Entfernen des Wurms müssen Benutzer von Windows Me und XP die Systemwiederherstellungs-Funktion ausschalten (Vorgehen siehe Link unten). Die manuelle Beseitigung des Wurms besteht darin, im Registry-Editor den oben erwähnten Eintrag zu entfernen. Nach einem anschliessenden PC-Neustart können die Wurm-Dateien entfernt werden.

Es ist gut möglich, dass zumindest F-Secure das bisherige Netsky-Beseitigungs-Tool auf die Variante Z ausweitet. Ob das in der Zwischenzeit schon geschehen ist, steht in der Netsky.Z-Beschreibung von F-Secure.

Infos:

Detaillierte Beschreibungen finden Sie beispielsweise bei F-Secure [9], McAfee [10] und Symantec [11].