Die Antiviren-Hersteller berichten über eine neue Variante des Netsky-Wurms, die allerdings noch nicht “in the wild” ist. Das gefährliche an der neuen Variante: sie verbreitet sich nicht als Mail-Anhang, sondern per normaler Mail. Wird die Mail angesehen, dann wird das System unter Ausnutzung bekannter Windows-Sicherheitslücken infiziert.
Ausgenutzt werden Sicherheitslücken die Microsoft bereits mit den Updates MS03-040 und MS99-032 geschlossen hat. Die infizierten Mails tragen im Betreff beispielsweise “Mail Delivery System failure” oder “Mail delivery failed”. Im Mail-Text steht “The processing of this message can take a few minutes?”, “Converting message. Please wait?” oder “Please wait while converting the message?”.
Wird die infizierte HTML-Mail geöffnet beziehungsweise in der Vorschau betrachtet, gelangt der Wurm per versteckten Link, über den eine Remote-Website kontaktiert wird, auf den Rechner. Der Remote-Recher wird über HTML auf dem Port 5557 kontaktiert, eine HTML-Datei wird aufgerufen, diese stößt ein FTP-Skript an, das dann wiederum über den Port 5556 den eigentlichen Wurm-Code herunter lädt und damit den Rechner infiziert.
Der Wurm installiert sich auf dem Rechner unter den Namen “KasperskyAVEng.exe” im Windows-Verzeichnis und sorgt per Registry-Eintrag dafür, dass er bei jedem Systemstart aktiviert werden. Für seine weitere Verbreitung sorgt der Wurm per Mail und eigener SMTP-Client-Engine. Zwischen dem 22. und 29. April startet eine DoS-Attacke auf mehrere Websites, darunter auch auf www.kazaa.com und www.emule.de .
Grund zur Panik besteht nicht: der Wurm ist wie bereits erwähnt noch nicht allzu sehr in Erscheinung getreten und die Antiviren-Hersteller haben bereits ihre Signaturen angepasst. Zur Sicherheit sollten Sie allerdings kontrollieren, ob Sie bereits die beiden Windows-Sicherheitslücken per Update geschlossen haben und dies gegebenenfalls nachholen.
Weitere Infos zu Netsky V finden beispielsweise bei Symantec und bei Network Associates .