Geschrieben von Troll am 02.03.2004 um 09:05:
Achtung: neuer Virus im Umlauf
Bringt Eure Virenscann-Pattern auf den neuesten Stand! Mittlerweile habe ich an die 30 Mails erhalten die den Worm NETSKY inne hatten!
Bschreibung:
Am 01.März 2004 um 00.51 PST wurden TrendLabs mehrere Infektionen mit dieser neuen NETSKY-Variante aus Frankreich, den Vereinigten Staaten und Japan gemeldet.
Bei WORM_NETSKY.D handelt es sich um einen speicher-residenten Computerwurm, der für seine Verbreitung per eMail eine eigene SMTP-Engine verwendet. Die von WORM_NETSKY.D versendete Massen-eMail sieht folgendermaßen aus:
Betreff: (einer der folgenden)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Text der Nachricht: (einer der folgenden):
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Dateianhang: (einer der folgenden)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Die Malware platziert eine Wurmkopie unter dem Namen WINLOGON.EXE im Windows Ordner.
(Bitte beachten Sie: Unter Windows NT, 2000 und XP befindet sich eine normale Anwendung namens WINLOGON.EXE im Windows System-Ordner.)
Die Malware verbreitet sich üblicherweise als eine mit Petite komprimierte ausführbare Datei. Sie wurde in MS Visual C++, einer hochentwickelten Programmiertsprache, erstellt.
Die Malware infiziert Windows 95, 98, NT, 2000, ME und XP Systeme.
Lösung:
Erkennen des Malware Programms
Zum Entfernen der Malware, muss diese zunächst identifiziert werden. Durchsuchen Sie dazu Ihren Computer mit Ihrem Virenschutzprodukt von TREND MICRO und löschen sie alle Dateien, die als WORM_NETSKY.D erkannt werden. Spielen Sie hierfür unbedingt vorher die neueste Viren-Patterndatei ein!
Andere Internet-Nutzer: Bitte benutzen Sie Housecall, den kostenlosen Online-Virenscanner von TREND MICRO.
Beenden des Malware-Programms
Folgendermassen beenden sie den laufenden Prozess der Malware aus dem Speicher. Legen Sie hierfür bitte nochmals den Namen / die Namen der bereits ermittelten Dateien zurecht:
Öffnen Sie den Windows Task Manager.
Auf Windows 95/98/ME Systemen, drücken Sie bitte folgende Tasten
STRG+ALT+LÖSCHEN
Auf Windows NT/2000/XP Systemen, drücken Sie bitte folgende Tasten
CTRL+SHIFT+ESC, und klicken dann auf Prozesse .
Durchsuchen Sie die Liste der laufenden Programme* nach der Malware-Datei oder der vorher entdeckten infizierten Dateien.
Markieren Sie den Malware-Prozess und klicken Sie entweder auf die Schaltfläche Task beenden oder Prozess beenden (abhängig von der Windows-Version auf Ihrem Computer):
Wiederholen Sie diesen Vorgang für alle Malware-Dateien, die sie in der Liste der laufenden Prozesse finden.
Überprüfen Sie nun, ob der Malware-Prozess tatsächlich beendet ist, indem Sie den Task Manager beenden und erneut öffnen.
Schliessen Sei den Task Manager.
*Bitte beachten Sie: Auf Windows 95/98/ME – Systemen, zeigt der Task Manager bestimmte Prozesse möglicherweise nicht an. In diesem Fall kann es nötig sein ein „Process-Viewer“-Tool einzusetzen. Ansonsten fahren Sie bitte wie folgt fort.
Entfernen der Autostart Einträge aus der Registrierungsdatei
Nach Entfernen der Autostart-Einträge aus der Registrierungsdatei wird die Malware bei einem Systemstart nicht mehr automatisch ausgeführt.
Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start>Ausführen, tippen Sie Regedit und drücken Sie die Eingabe-Taste.
Auf der linken Spalte führen Sie bitte auf folgende Schlüssel einen Doppelklick aus:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Auf der rechten Spalte löschen Sie nun den Eintrag:
ICQ Net = "C:\Windows\winlogon.exe -stealth"
Schliessen Sie den Registrierungs-Editor.
BITTE BEACHTEN SIE: Sollte es Ihnen nicht gelungen sein, die Malware-Prozesse im Speicher wie oben beschrieben zu beenden, führen Sie nun einen System-Neustart aus.
Zusätzliche Cleanup-Hinweise für Windows ME/XP
Ausführen eines TREND MICRO AntiViren-Produkts Durchsuchen Sie Ihren Computer mit Ihrem Virenschutzprodukt von TREND MICRO und löschen sie alle Dateien, die als WORM_NETSKY.D erkannt werden. Spielen Sie hierfür unbedingt vorher die neueste Viren-Patterndatei ein!
Andere Internet-Nutzer: Bitte benutzen Sie Housecall, den kostenlosen Online-Virenscanner von TREND MICRO.
Quelle:
http://de.trendmicro-europe.com