Netsky.B löscht Mydoom

Verschiedene Sicherheitsfirmen haben einen neuen Wurm gesichtet, der derzeit das Internet überschwemmt. Betroffen sind, wie bei den meisten Würmern der letzten Monate, Rechner mit Microsoft-Betriebssystemen. Der Netsky.B verbreitet sich vor allem über private und Firmen-PCs. Wegen der rasanten Verbreitung stufte der Antiviren-Hersteller Symantec den Wurm von drei auf vier herauf. Die Skala des Herstellers reicht von eins bis fünf.
Vor allem aus Europa hatte das Sicherheitsunternehmen Mails mit dem Wurm erhalten. Auch die norwegische Norman Data Defense Systems hat in Skandinavien viele Wurmmeldungen, stuft die Gefährlichkeit aber als “moderate” ein. Der Massmailer verbreitet sich über SMTP. Die Betreffszeile beinhaltet meist “Hi”, “information”, “stolen” oder auch den Satz: “here is the document”, meistens von gefälschten Adressen. Infiziert wird der Rechner indem das angehängte Dokument meist mit doppelten Formaterweiterungen, etwa .rtf.pif, geöffnet wird.

Der Rechner reagiert dann mit einer gefälschten Fehlermeldung: “The file could not be opened!”. Er erstellt dann den  Ordner C:Windowsservices.exe-serv  mit der Datei “HKLMSoftwareMicrosoftWindowsCurrentVersionRun”. Schließlich überprüft das Programm, ob der Rechner mit dem Internet verbunden ist. Mit dem IPHLPAPI-Service wird dann über den Port 53 eine Verbindung mit der IP-Adresse 192.168.0.1 hergestellt und verschickt sich dann über SMTP (Simple Mail Transfer Protocol), wie Norman Data mitteilte. Netsky.B verwendet dazu die Adressen, die auf dem PC vorhanden sind.

Aber der Wurm kann sich zudem anderweitig fortpflanzen. Er kopiert sich auch in Ordner, die mit “share” oder “sharing” benannt sind. So kann sich der Wurm auch über Peer-to-Peer-Netzwerke wie Kazaa oder Limewire verbreiten. Daneben versucht der Wurm auch die Konkurrenz auszuschalten. Er löscht die beiden Varianten von Mydoom a und b, falls sie auf dem PC vorhanden sind. Doch ist der Neuling zum Glück noch nicht ganz so verbreitet wie seine Vorgänger.