115294

Netsky-P und Agobot-FH machen PC-Nutzern das Leben schwer

30.03.2004 | 09:43 Uhr |

Das Sicherheits-Unternehmen Sophos warnt vor zwei neuen Malware-Vertretern, die im Internet kursieren. W32/Netsky-P heißt der eine der beiden virtuellen Übeltäter, der als "klassischer" Wurm eine Lawine unerwünschter Mails auslöst. W32/Agobot-FH dagegen verbreitet sich in Netzwerken und öffnet eine Hintertür auf dem befallenen Rechner.

Das Sicherheits-Unternehmen Sophos warnt vor zwei neuen Malware-Vertretern, die im Internet kursieren. W32/Netsky-P heißt der eine der beiden virtuellen Übeltäter, der als "klassischer" Wurm eine Lawine unerwünschter Mails auslöst. W32/Agobot-FH dagegen verbreitet sich in Netzwerken und öffnet eine Hintertür auf dem befallenen Rechner.

W32/Netsky-P hört auch auf die Alias-Namen Win32/Netsky.Q und WORM_NETSKY.P. Der Wurm verschickt sich an alle Mail-Adressen, die er auf einem infizierten Rechner findet. Nachdem ein ahnungsloser Benutzer den Wurm durch einen doppelten Mausklick auf die an die Mail angehängte Datei gestartet hat, kopiert er sich als FVProtect.exe in das Windows-Verzeichnis und trägt sich in die Windows-Registry ein. Außerdem kopiert er sich unter verschiedenen Namen in Peer-to-Peer-Tauschordner.

Um seine "Attraktivität" beim Filesharing zu erhöhen, tragen die Dateien mit dem Wurm meist einen Hinweis auf sexuelle Handlungen, also zum Beispiel "Britney Spears blowjob.jpg.exe" oder "Porno Screensaver britney.scr". Alternativ kann die Datei auch nach einer bekannten und begehrten Software wie beispielsweise Adobe Photoshop benannt sein.

Der Wurm besitzt eine eingebaute Routine, die ihn am 24. März 2004 auslöst. Zudem versucht er Registry-Einträge von W32/Mydoom and W32/Bagle zu beseitigen.

Die Betreffzeilen der Mails, mit denen er sich verbreitet, können unterschiedliche Texte tragen. Beispiel sind "Re: Encrypted Mail" oder "Re: Failure". Auch der eigentliche Mailtext kann ebenso wie der Name der angehängten Datei variieren. In jedem Fall sind alle Texte aber in englischer Sprache verfasst.

0 Kommentare zu diesem Artikel
115294