24.03.2004

VERSION.P/Q

E-Mail-Wurm "Netsky" lässt nicht locker

Obwohl sich der "Netsky"-Autor bereits vor zwei Wochen verabschiedet hat, tauchen immer neue Varianten des E-Mail-Wurms auf.

Die nunmehrige Variante Q [aka P] tritt derzeit besonders gehäuft auf. Die Wiener Anti-Viren-Firma Ikarus geht davon aus, dass jede zweite einlangende E-Mail mit "Netsky.P/Q" infiziert ist. Damit sei die aktuelle Version stärker als "Netsky.D", so Joe Pichlmayr von Ikarus.

Wie gewohnt verschickt sich der Wurm bei Aktivierung an alle E-Mail-Adressen, die er auf der Festplatte in verschiedenen Dateien findet.

Neben dem Ausführen des Anhangs nutzt der Wurm für die Verbreitung auch eine ältere Schwachstelle im Internet Explorer, durch die er beim Lesen der E-Mail-Nachricht automatisch aktiviert wird. Betroffen sind die ungepatchten Versionen des IE 5.01 und 5.5.

Scanner-Täuschung

Der Wurm kopiert sich als "FVProtect.exe" in das Windows-Verzeichnis und legt einen Eintrag in der Registry an. Unter verschiedenen Namen kopiert er sich außerdem in freigegebene Verzeichnisse von Filesharing-Programmen.

Für seinen "Erfolg" verantwortlich sieht Ikarus vor allem einen Hinweis am Ende der Mails, wonach diese erfolgreich von einem bekannten Viren-Scanner geprüft worden sind.

Die variierenden Betreffzeilen sowie der Text täuschen zudem oftmals eine sichere E-Mail bzw. einen Fehler in der Übermittlung einer Mail vor.

Wie schon seine Vorgänger löscht "Netsky.P/Q" einige Registry-Einträge, die von den E-Mail-Würmern "MyDoom" oder "Bagle" angelegt wurden. Ansonsten hat der Wurm, abgesehen von dem erhöhten Traffic, keine Schadensfunktion.