Virus Netsky.d gibt sich die (falsche) Ehre

EnterpriseSicherheit

Mit gefälschten Absenderadressen hat sich in kürzester Zeit eine neue Variante des Netsky-Wurmes über die Postfächer her gemacht.

Mit gefälschten Absenderadressen hat sich in kürzester Zeit eine neue Variante des Netsky-Wurmes über die Postfächer her gemacht. Network Associates (NAI) hat den Neuling auf ‘Netsky.d’ getauft. Er kommt, wie seine Vorgänger, mit einer eigenen SMTP-Maschine und er versucht Hintertüren, die eventuell von den MyDoom-Brüdern a und b geöffnet wurden, zu schließen. Er verschickt sich über Mail an die im infizierten Rechner gefundenen Adressen.
Unter der Endung .pif versteckt sich in dem 17,424 Byte großen Anhang der Wurm, der sich dann auch in das Windows-Systemverzeichnis unter dem Namen winlogon.exe selbst anlegt. Dazu wird ein Schlüssel in die Registry geschrieben, damit sich der Wurm beim Hochfahren des Systems selbst wieder aktiviert. Die Betreffzeile kommt in alter Manier: ‘Re: Here is the Dokument’ oder ‘Re: Your Music’ und so weiter. Der Text ist meist etwas in der Richtung: ‘Please have a look at the attached file’.

Der Wurm meidet es, sich an Adressen zu schicken, die in Zusammenhang mit Sicherheitsfirmen oder staatlichen Stellen stehen. NAI warnte jetzt auch vor neuen Varianten des Bagle-Wurmes, der sich am Wochenende verbreitet hatte, die das Sicherheitsunternehmen von c bis g durchnummerierte. Eine besonders bissige Variante verschlüsselt den Virus in der angehängten Zip-Datei, so dass bestimmte Viren-Scanner die Malware nicht mehr erkennen können.