"Netsky.B" hält Wurm-Welle am Leben

Nach "Bagle" hat nun auch der E-Mail-Wurm "Netsky" seinen Nachfolger gefunden.

"Netsky.B" [auch "Moodown.B"] verbreitet sich via E-Mail bzw. über Windows-Netzwerkfreigaben. Die Virenspezialisten von Ikarus haben seit Donnerstagvormittag bereits 20.000 infizierte E-Mails abgefangen. Damit ist der Wurm zwar nicht so kräftig wie "Mydoom.A", aber wesentlich stärker als "Bagle.B".

Wird die angehängte Datei [mit doppelter Datei-Erweiterung kombiniert aus den Endungen .doc, .rtf, .htm, .pif, .com, .scr, .exe. oder .zip] aktiviert, kopiert sich der Wurm unter dem Namen "services.exe" in das Windows-Verzeichnis und trägt sich in die Registry ein. Davor wird eine gefälschte Fehlermeldung angezeigt.

"Netsky" verbreitet sich über eine eigene SMTP-Engine und durchsucht auf der Suche nach E-Mail-Adressen zahlreiche Dateitypen auf allen Laufwerken inklusive Netzlaufwerken.

Ikarus-Infos zu "Netsky.B"

Kosten- und zeitintensiv

Weiters kopiert er sich unter wechselndem Namen in jene erreichbaren Netzlaufwerke, die im Namen "Share" oder "Sharing" enthalten.

Sowohl Betreffzeile als auch Inhalt der Viren-Mail sind in Englisch, zudem wird eine gefälschte Absenderadresse verwendet, um den infizierten PC zu verschleiern. Dadurch dürfte "Netsky" bei weiterer Verbreitung durch Bounces und Virenwarnungen wieder die Postfächer füllen.

Damit verursacht der Wurm neben dem nicht zu unterschätzenden Zeitverlust beim Sortieren der Mails auch nicht unerheblichen und vor allem kostenintensiven Traffic.