RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog


Das Malware Medium
Malware-Typen
Wer kreiert Malware?
Die Geschichte der Schadprogramme
Malware Trends
Wenn Ihr Computer infiziert ist

 
Suche nach Malware Beschreibungen

 

  Home / Viren / Virus Enzyklopädie / Malware-Typen / Network Worms - Netzwerkwürmer / Email Worms

Email-Worm.Win32.NetSky.aa

Andere Version: .q, .x

Aliases
Email-Worm.Win32.NetSky.aa (Kaspersky Lab) auch bekannt als: W32/Netsky.z@MM (McAfee),   W32.Netsky.Z@mm (Symantec),   Win32.HLLM.Netsky.22016 (Doctor Web),   W32/Netsky-AE (Sophos),   Win32/Netsky.Z@mm (RAV),   WORM_NETSKY.Z (Trend Micro),   Worm/NetSky.AA (H+BEDV),   W32/Netsky.AK@mm (FRISK),   I-Worm/Netsky.Z (Grisoft),   Win32.Netsky.AA@mm (SOFTWIN),   Worm.SomeFool.AA-2 (ClamAV),   W32/Netsky.Z.worm (Panda),   Win32/Netsky.Z (Eset)
Datum: Wann entdeckt? 03 Dez 2004
Datum der Veröffentlichung 17 Sep 2008
Behavior Email-Worm
Technical Details

Dieser Wurm verbreitet sich über das Internet in Form von infizierten E-Mail-Anhängen.

Er enthält eine Backdoor-Funktion und ist in der Lage, DoS-Attacken über das Internet auszuführen. Der Wurm hat das PE-EXE format, ist rund 20 KB groß und mit UPX komprimiert.

Installation

Der Wurm kopiert sich selbst in das Windows-Verzeichnis als Jammer2nd.exe, und registriert diese Datei in der System-Registry:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Jammer2nd"="%windir%\jammer2nd.exe"

Er erzeugt außerdem die Dateien PK_ZIP_ALG.LOG und PK_ZIP.LOG im Windowsverzeichnis.

Diese Dateien sind Kopien des Wurms selbst im UUE-Format bzw. in Zip-Archiven.

Der Wurm zeigt mit dem Mutex (S)(k)(y)(N)(e)(t) seine Gegenwart im System an.

Verbreitung über E-Mail

Der Wurm durchsucht alle erreichbaren Netzlaufwerke nach Dateien mit folgenden Endungen 

adb
asp
cfg
cgi
dbx
dhtm
doc
eml
htm
html
jsp
 
mbx
mdx
mht
mmf
msg
nch
ods
oft
php
pl
ppt
 
rtf
sht
shtm
stm
tbb
txt
uin
vbs
wab
wsh
xls

und durchsucht diese Dateien nach E-Mail_Adressen, an die er sich anschließend selbst verschickt. Der Wurm verwendet seine eigene SMTP-Bibliothek um Dateien zu versenden, und versucht, sich mit dem Mail-Server des Empfängers zu verbinden.

Charakteristik infizierter Nachrichten

Infizierte Nachrichten werden aus folgenden Elementen zufällig zusammengestellt::

Absender

Hier wird eine der erbeuteten Mail-Adressen eingesetzt

Betreff:

Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information

Attachment-Name:

Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip

bzw.

Bill.txt.exe
Data.txt.exe
Details.txt.exe
Important.txt.exe
Informations.txt.exe
Notice.txt.exe
Part-2.txt.exe
Textfile.txt.exe

Sonstiges

Der Wurm öffnet den TCP Port 665 auf dem Rechner des Opfers, und empfängt darüber weitere Dateien, die er umgehend ausführt.

Je nach Einstellung der Systemzeit wird der Wurm zudem DoS-Angriffe gegen folgende Seiten ausführen:

www.educa.ch
www.medinfo.ufl.edu
www.nibis.de
 		 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com