1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Wurm Netsky.DS

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von deingoldi, 28. August 2008.

  1. deingoldi
    Offline

    deingoldi VIP

    Registriert:
    9. Januar 2008
    Beiträge:
    838
    Zustimmungen:
    90
    Punkte für Erfolge:
    0
    Der Wurm Netsky.DS ist unterwegs. Der Wurm versteckt sich im Anhang einer E-Mail, die scheinbar nicht zugestellt werden konnte. Nähere Angaben zu dieser E-Mail können Sie angeblich der im Anhang befindlichen Datei entnehmen. Und das ist natürlich gelogen.
    Wird die sich im Anhang befindende Datei durch einen Doppelklick geöffnet, erhält man keine Informationen über die entsprechende E-Mail, die nicht zugestellt werden konnte. Stattdessen installiert sich der Wurm auf dem betreffenden System.

    Die E-Mail hat folgendes Aussehen

    Betreff – einer der folgenden:
    • Mail delivery failed: returning message to sender
    • Mail Delivery System
    • Mail Transaction Failed
    • Delivery Status Notification (Failure)
    • Returned mail: see transcript for details

    Dateianhang: details.txt.exe

    E-Mail-Text – einer der folgenden:
    • „Mail transaction failed. Partial message is available.“
    • „The following addresses had permanent fatal errors.”
    • „The message you sent to sigil777.com/trash50534137 was rejected.”
    • „A message that you sent could not be delivered to one or more.

    Betroffene Betriebssysteme: Alle Windows-Versionen.

    Installation auf dem System

    Eine Kopie seiner selbst wird hier erzeugt:
    • %WINDIR%\winlogon.exe

    Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • "ICQ Net"=%WINDIR%\winlogon.exe -stealth"

    Die Werte der folgenden Registryschlüssel werden gelöscht:

    – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • DELETE ME
    • Explorer
    • KasperskyAv
    • msgsvr32
    • Sentry
    • service
    • system.
    • Taskmon
    • Windows Services Host

    – HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • au.exe
    • d3dupdate.exe
    • Explorer
    • KasperskyAv
    • OLE
    • Taskmon
    • Windows Services Host

    Alle Werte der folgenden Registryschlüssel werden gelöscht:
    • HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
    • HKLM\System\CurrentControlSet\Services\WksPatch

    So schützen Sie Ihr System
    Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
     
    #1

Diese Seite empfehlen