82976

Sasser- und Netsky-Plage könnten vom selben Programmierer stammen

04.05.2004 | 14:54 Uhr |

Von dem Netsky-Wurm gibt es mittlerweile unzählige Varianten. Nun kommt die Variante mit dem Zusatz "AC" im Namen hinzu. Netsky.AC ist ein Massmailing-Wurm und landet bei den Anwendern in Form einer Mail. Der Text der Mail suggeriert dem Empfänger, dass sich im Anhang ein Antivirus-Tool befindet, das diverse aktuelle Würmer entfernt. Darunter auch den Sasser-Wurm.

Von dem Netsky-Wurm gibt es mittlerweile unzählige Varianten. Nun kommt die Variante mit dem Zusatz "AC" im Namen hinzu. Netsky.AC ist ein Massmailing-Wurm und landet bei den Anwendern in Form einer Mail. Der Text der Mail suggeriert dem Empfänger, dass sich im Anhang ein Antivirus-Tool befindet, das diverse aktuelle Würmer entfernt. Darunter auch den Sasser-Wurm.

Die Mail gibt vor, von den Antivirenherstellern Sophos, McAfee, Norman oder Norton zu stammen. In der Mail wird der Empfänger darauf aufmerksam gemacht, dass er angeblich hunderte von infizierten Mails verschickt habe. Er solle das im Anhang befindliche Removal-Tool starten, um die Infektion seines Systems zu beseitigen.

Per Zufall wird ein aktueller Wurm-Name ausgewählt und im Mail-Text angezeigt. Demnach bekämpft das angebliche Antiviren-Tool die Würmer Netsky.AB, Sasser.B, Bagle.AB, Mydoom.F oder MSBlast.B. Der Name des Anhangs heißt "Fix_<Virusname>_<zufällige Ziffern>.cpl.

Das Antiviren-Tool ist natürlich in Wirklichkeit keins, sondern der Wurm Netsky.AC. Nach dem Aufruf des Anhangs kopiert sich der Wurm als comp.cpl in den Windows-Komponente und erstellt im selben Ordner die Datei wserver.exe. In der Registry findet sich der neue Eintrag "HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\wserver=wserver.exe". Ist der Wurm erstmal auf dem System gelangt, dann sorgt er massiv für seine Verbreitung.

Die Antivirenspezialisten von Sophos haben im Code von Netsky.AC eine Mitteilung des Programmiers entdeckt. Darin heißt es, dass die Würmer Sasser und Netsky vom selben Programmierer stammen.

Der Text im englischen Original: "Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet".

Sasser-Wurm: System-Neustarts ala Blaster-Attacke (PC-WELT Online, 02.05.2004)

0 Kommentare zu diesem Artikel
82976