Netsky.B löscht Mydoom

Verschiedene Sicherheitsfirmen haben einen neuen Wurm gesichtet, der derzeit das Internet überschwemmt. Betroffen sind, wie bei den meisten Würmern der letzten Monate, Rechner mit Microsoft-Betriebssystemen. Der Netsky.B verbreitet sich vor allem über private und Firmen-PCs. Wegen der rasanten Verbreitung stufte der Antiviren-Hersteller Symantec den Wurm von drei auf vier herauf. Die Skala des Herstellers reicht von eins bis fünf.
Vor allem aus Europa hatte das Sicherheitsunternehmen Mails mit dem Wurm erhalten. Auch die norwegische Norman Data Defense Systems hat in Skandinavien viele Wurmmeldungen, stuft die Gefährlichkeit aber als “moderate” ein. Der Massmailer verbreitet sich über SMTP. Die Betreffszeile beinhaltet meist “Hi”, “information”, “stolen” oder auch den Satz: “here is the document”, meistens von gefälschten Adressen. Infiziert wird der Rechner indem das angehängte Dokument meist mit doppelten Formaterweiterungen, etwa .rtf.pif, geöffnet wird.

Der Rechner reagiert dann mit einer gefälschten Fehlermeldung: “The file could not be opened!”. Er erstellt dann den  Ordner C:Windowsservices.exe-serv  mit der Datei “HKLMSoftwareMicrosoftWindowsCurrentVersionRun”. Schließlich überprüft das Programm, ob der Rechner mit dem Internet verbunden ist. Mit dem IPHLPAPI-Service wird dann über den Port 53 eine Verbindung mit der IP-Adresse 192.168.0.1 hergestellt und verschickt sich dann über SMTP (Simple Mail Transfer Protocol), wie Norman Data mitteilte. Netsky.B verwendet dazu die Adressen, die auf dem PC vorhanden sind.

Aber der Wurm kann sich zudem anderweitig fortpflanzen. Er kopiert sich auch in Ordner, die mit “share” oder “sharing” benannt sind. So kann sich der Wurm auch über Peer-to-Peer-Netzwerke wie Kazaa oder Limewire verbreiten. Daneben versucht der Wurm auch die Konkurrenz auszuschalten. Er löscht die beiden Varianten von Mydoom a und b, falls sie auf dem PC vorhanden sind. Doch ist der Neuling zum Glück noch nicht ganz so verbreitet wie seine Vorgänger.

Silicon-Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

4 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

5 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

6 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

6 Tagen ago