W32/Netsky.V

Vom Netsky-Wurm [1] sind inzwischen über zwanzig Varianten im Umlauf. Die vorliegende Variante "V" unterscheidet sich jedoch in einem wesentlichen Punkt von den bisher entdeckten: In den Massenmails, die der Wurm von infizierten Systemen aus automatisch verschickt, fehlt die eigentliche Wurm-Beilage. Anstatt einer Beilage enthalten seine HTML-formatierten Mails eine Verknüpfung, die auf eine Wurmdatei des absendenden, verseuchten Systems verweist.

Durch den Missbrauch einer Sicherheitslücke im Internet Explorer bzw. in Outlook/Outlook Express könnte die verlinkte Wurmdatei automatisch heruntergeladen und ausgeführt werden - schon beim Lesen der Mail. In neueren Versionen bzw. Service-Packs der betroffenen Programme ist dieses Leck gestopft. Deshalb empfiehlt sich mindestens die Installation von Internet Explorer 5.5 mit SP2 oder Internet Explorer 6.0, zuzüglich aller bisher für diese beiden Browserversionen verfügbaren Updates.

Die Mails können verschiedene Betreffzeilen und Texte aufweisen, geben aber meist vor, Unzustellbarkeits-Meldungen für Mails zu sein, die der Benutzer angeblich selber verschicken wollte.

Bei der Installation im System legt der Wurm im Windows-Ordner (meist C:\Windows oder C:\Winnt) eine Datei namens KasperskyAVEng.exe ab und trägt diese in diesem Registry-Zweig ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: "KasperskyAVEng" = %WinDir%\KasperskyAVEng.exe

Zusätzlich erstellt der Wurm im Windows-Ordner noch eine weitere Kopie von sich selber, mit dem Dateinamen skyav.tmp.

Auswirkungen/Schäden:

Durch die Massenmails solcher Würmer werden Mailserver strapaziert und Postfächer mit Wurm-Müll überflutet. Auf der infizierten Maschine selbst öffnet der Wurm die TCP-Ports 5556 und 5557. Diese Ports dienen hauptsächlich der Verbreitung des Wurms, über die sich weitere Empfänger den Wurm unwissentlich herunterladen.

Zwischen dem 22. und 29. April 2004 führt der Wurm zudem eine Denial-of-Service-Attacke [2] auf diese Seiten aus: www.cracks.am, www.emule.de, www.freemule.net, www.kazaa.com, www.keygen.us.

Beseitigung:

Unter Windows Me und XP müssen Sie zuerst die Systemwiederherstellung ausschalten. Wie das geht, lesen Sie im Kummerkasten-Artikel mit Webcode 26316 [3]. Wer sich mit dem Registry-Editor auskennt, löscht im oben erwähnten Registry-Zweig den vom Wurm erstellten Eintrag und startet den PC neu. Danach sollten sich die beiden vom Wurm abgelegten Dateien ebenfalls löschen lassen.

Wer sich nicht manuell an der Registry zu schaffen machen will, kann bei F-Secure ein Beseitigungs-Tool herunterladen, das alle Netsky-Varianten von A bis Y erkennt und beseitigt. Informationen über den Wurm finden Sie unter Anderem bei F-Secure [4], McAfee [5] oder Symantec [6].

Nachdem Sie Ihr System manuell oder per F-Secure-Beseitigungs-Tool gesäubert haben, sollten Sie sicherstellen, dass Ihr System updatemässig auf dem neuesten Stand ist, sonst ist die nächste Wurminfektion nicht weit.