News 08.03.2004, 15:00 Uhr

W32/Netsky (alias Moodown)

Bei W32/Netsky handelt es sich um einen Wurm, der sich via E-Mail, über Netzlaufwerke und Tauschbörsenprogramme (z.B. Kazaa) verbreitet.
Am 18. Februar 2004 haben die Antivirushersteller einen neuen Wurm zur Analyse vorgesetzt bekommen. Der Schädling namens W32/Netsky nutzt verschiedene Verbreitungsmethoden.
Per E-Mail:
Die Mails, die er verschickt, kommen mit unterschiedlichen Betreffzeilen und Texten daher. Details und allenfalls Screenshots finden Sie in den Beschreibungen der Antivirushersteller (siehe am Ende dieses Artikels). Die Absenderadresse ist immer gefälscht; das bedeutet, dass eine Netsky-Mail nicht wirklich von jenem Benutzer verschickt wurde, der als Absender drinsteht. Die Mailbeilage ist eine Datei mit doppelter Endung, z.B. dateiname.rtf.pif, die er häufig in eine Zip-Datei komprimiert. Dies tut er, weil viele Virenscanner standardmässig keine gezippten Dateien scannen.
Per Tauschbörsen und Netzwerk:
Der Wurm kopiert sich auf dem infizierten System in Ordner, welche die Bezeichnung "share" enthalten; somit sind auch die ins Netz freigegebenen Ordner von Tauschbörsenprogrammen wie z.B. Kazaa oder Bearshare betroffen. Ausserdem versucht er auf via Netzwerk verbundene Laufwerke zuzugreifen und sich ebenfalls dorthin zu kopieren. Die so verteilten Dateien tragen ebenfalls meist doppelte Endungen, z.B. "sex sex sex sex.doc.exe" oder "rfc compilation.doc.exe". Der Trick mit den doppelten Endungen nutzt den Umstand aus, dass die tatsächliche Endung (z.B. .exe oder .pif) in einigen Windows-Versionen standardmässig nicht angezeigt wird.
Zusätzlich verteilt er sich sowohl via Netzwerk als auch auf der lokalen Festplatte mit gezippten Versionen von sich selber, z.B. unter Dateinamen wie aboutyou.zip, details.zip oder stuff.zip.
Wurm wird im PC installiert:
Wer die Datei öffnet und die Wurmdatei per Doppelklick ausführt, bekommt zuerst eine Fehlermeldung präsentiert, mit dem Titel "Error", dem Text "The file could not be opened!" und einer OK-Taste.
Doch die Fehlermeldung trügt, die Datei wurde natürlich trotzdem geöffnet. Inzwischen kopiert sich der Wurm mit dem Dateinamen "services.exe" in den Windows-Ordner (also etwa C:\Windows oder C:\Winnt). Diese Datei trägt der Netsky-Wurm in der Windows Registry ein, damit sie jedesmal gestartet wird, wenn man den PC einschaltet.
Der Eintrag erfolgt in diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Und lautet z.B. auf einem PC mit Windows 2000:
"service" = "C:\WINNT\services.exe -serv"
Falls er beim obigen Eintrag scheitert, versucht er es noch hier:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"service" = "services.exe -serv"
Der Wurm W32/Netsky versucht, auf infizierten PCs die Würmer MyDoom.A und MyDoom.B zu deaktivieren, indem er deren Registry-Einträge löscht. Das macht diesen Schädling jedoch nicht zu einem "guten" Wurm. Denn so wird bloss das eine Übel durch ein anderes ersetzt.
Bei der Verbreitung geht er so vor, wie oben beschrieben. Die Mail-Adressen, an die er sich verschickt, fischt er auf dem infizierten PC aus Dateien mit diesen Endungen: .adb, .asp, .dbx, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .tbb, .txt, .uin, .vbs und .wab.
Beseitigung:
Vorbereitung: Falls Sie Windows Me oder XP haben, müssen Sie zuerst die Systemwiederherstellung deaktivieren, sonst ist der unliebsame Registry-Eintrag nach dem nächsten PC-Start wieder da. Wie Sie diese Funktion ausschalten, lesen Sie in diesem [1] Kummerkasten-Artikel.
Seien Sie beim Hantieren mit dem Registry-Editor vorsichtig! Starten Sie den Registry-Editor (Start/Ausführen: regedit.exe) und navigieren Sie sich zu diesem Zweig durch und klicken Sie ihn an, damit Sie in der rechten Fensterhälfte dessen Einträge sehen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Klicken Sie mit Rechts auf den Eintrag "service" und wählen Sie Löschen.
Sollten Sie den Eintrag im obigen Zweig nicht finden, schauen Sie am besten auch noch in diesem Zweig nach und löschen allenfalls dort den Eintrag "service":
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Starten Sie den PC neu und löschen Sie nun die Datei services.exe, die im Windows-Ordner sitzt, also z.B. hier:
Unter Windows 98/ME/XP: C:\Windows\
Unter Windows 2000: C:\Winnt\
Weil Netsky sich auf der Festplatte unter verschiedensten Namen verteilt, sollten Sie Ihren Virenscanner aktualisieren und ihn (gemäss Hilfe oder Handbuch) so einstellen, dass er auch Zip-Archive scannt. Lassen Sie den Virenscanner nun alle Dateien auf allen erreichbaren Laufwerken prüfen und die verbleibenden Netsky-Exemplare löschen.
Weitere Informationen, Screenshots und womöglich früher oder später auch Tools für die automatische Beseitigung finden Sie bei diversen Antivirusherstellern. Wieder konnten sich diese nicht auf einen einzigen Namen für dasselbe Biest einigen:
Bei F-Secure ist der Wurm unter dem Namen NetSky.A [2] und NetSky.B [3] bekannt, Kaspersky nennt den Schädling I-Worm.Moodown.b [4], NAI (McAfee) hat den Wurm W32/Netsky.b@MM getauft [5], Panda kennt ihn mit Namen Netsky.B [6], bei Symantec figuriert er als W32.Netsky.B@mm [7] und Trend Micro betitelt den Schädling als WORM_NETSKY.B [8].
Es gibt übrigens bisher zwei verschiedene Varianten dieses Wurms, nämlich Netsky.A und Netsky.B. Diese unterscheiden sich hauptsächlich in den Betreffzeilen und Mailtexten, die der Wurm bei seiner Verbreitung verwendet. Die Beseitigung erfolgt bei beiden Varianten auf dieselbe Art.
Update: 26.02.2004:
W32/Netsky.C
Am 25. Februar 2004 ist eine neue Variante des Netsky-Wurms aufgetaucht, die sich ebenfalls recht schnell verbreitet.
Gemäss F-Secure [9] unterscheidet sich diese Variante einerseits dadurch, dass sie deutlich mehr unterschiedliche (zum Teil auffallend kurze) Mail-Texte verwendet, z.B. schlicht "your name is wrong" oder "I'm waiting". Andererseits installiert sich Netsky.C unter dem Dateinamen Winlogon.exe in den Windows-Ordner. Diese Datei wird auch in der Registry eingetragen.
Und zwar in diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Mit dem Eintrag: "ICQ Net" = "%windir%\winlogon.exe -stealth"
Update 08.03.2004:
Nochmals neue Varianten:
Es sieht inzwischen so aus, als ob die Virenschreiber-Cliquen von Netsky und Bagle [10] einander gegenseitig bekämpfen und das Internet als eine Art Spielplatz für ihren kindischen Kleinkrieg missbrauchen. Denn in den Quelltexten beider Wurm-Familien wurden kurze beleidigende Mitteilungen an die jeweils andere Viren-Clique gefunden. Das wird auch der Hauptgrund sein, warum innerhalb von wenigen Tagen mehrere neue Varianten beider Würmer entdeckt wurden, so z.B. Netsky.F [11] und Netsky.H [12].



Kommentare
Es sind keine Kommentare vorhanden.