TREND MICRO hat am 22.März (7:05 Uhr PST) einen globalen Yellow Alert ausgelöst, um die Ausbreitung von WORM_NETSKY.P zu verhindern. Infektionen mit diesem Malicious Code wurden bislang aus den USA und Europa gemeldet. Nach ersten Analysen der TrendLabs ist das Schadens- und Verbreitungspotenzial von NETSKY.P als hoch einzustufen. Die neue NETSKY-Variante verfügt über eine eigene SMTP (Simple Mail Transfer Protocol)-Engine und versendet Emails mit infizierten Dateianhängen. Zudem befällt NETSKY.P auch öffentliche Netzwerk-Ordner. Gefährdet sind Computer mit den Betriebsystemen Windows 95, 98, ME, NT, 2000 und XP. AntiViren-Lösungen von TREND MICRO erkennen NETSKY.P ab Pattern-File 832 und Scan-Engine 5.600. Aktuelle Pattern-Files stehen auf www.trendmicro.de zum sofortigen Download bereit. Darüber hinaus bietet TREND MICRO unter http://de.trendmicro.europe.com/... einen kostenlosen Online-Scanner für alle Computernutzer.
Der Speicher-residente und UPX-komprimierte Wurm verbreitet sich über Emails mit unterschiedlichen Betreffzeilen, Nachrichtentexten und Dateianhängen (EXE-, PIF-, SCR- oder ZIP-Endung). Darüber hinaus versucht NETSKY.P, Email-Adressen aus Dateien mit folgenden Endungen zu sammeln: ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML ,JSP, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB, WSH und XML .
NETSKY.P infiziert darüber hinaus Netzwerk-Ordner, in dem er Kopien von sich in den öffentlichen Ordnern des befallenen Systems ablegt. Zu diesem Zweck sucht der Malicious Code gezielt nach Ordnern, die einen der folgenden Begriffe im Namen haben: shared files, kazaa, mule, donkey, morpheus, lime, bear, icq, shar, upload, http, htdocs, ftp, download und my shared folder.
Schwachstelle im Internet Explorer
Die neue NETSKY-Variante nutzt gezielt eine bekannte Sicherheitslücke des Internet Explorer (Incorrect MIME Header, MS01-020), um den Malicious Code automatisch auszuführen, sobald die Email gelesen wird. Weitere Informationen zu dieser Schwachstelle finden sich unter http://www.microsoft.com/....
Löschen von Registry-Einträgen
Die Schadensroutine von NETSKY.P versucht, bestimmte Registry-Einträge zu löschen, sofern diese auf dem System vorhanden sind. Dazu gehören:
* HKEY_LOCAL_MACHINE\System\CurrentControlSet
Services\WksPatch
* HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\Explorer\PINF
* HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
00AA005127ED}InProcServer32
Der Speicher-residente und UPX-komprimierte Wurm verbreitet sich über Emails mit unterschiedlichen Betreffzeilen, Nachrichtentexten und Dateianhängen (EXE-, PIF-, SCR- oder ZIP-Endung). Darüber hinaus versucht NETSKY.P, Email-Adressen aus Dateien mit folgenden Endungen zu sammeln: ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML ,JSP, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB, WSH und XML .
NETSKY.P infiziert darüber hinaus Netzwerk-Ordner, in dem er Kopien von sich in den öffentlichen Ordnern des befallenen Systems ablegt. Zu diesem Zweck sucht der Malicious Code gezielt nach Ordnern, die einen der folgenden Begriffe im Namen haben: shared files, kazaa, mule, donkey, morpheus, lime, bear, icq, shar, upload, http, htdocs, ftp, download und my shared folder.
Schwachstelle im Internet Explorer
Die neue NETSKY-Variante nutzt gezielt eine bekannte Sicherheitslücke des Internet Explorer (Incorrect MIME Header, MS01-020), um den Malicious Code automatisch auszuführen, sobald die Email gelesen wird. Weitere Informationen zu dieser Schwachstelle finden sich unter http://www.microsoft.com/....
Löschen von Registry-Einträgen
Die Schadensroutine von NETSKY.P versucht, bestimmte Registry-Einträge zu löschen, sofern diese auf dem System vorhanden sind. Dazu gehören:
* HKEY_LOCAL_MACHINE\System\CurrentControlSet
Services\WksPatch
* HKEY_CURRENT_USER\Software\Microsoft\Windows
CurrentVersion\Explorer\PINF
* HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
00AA005127ED}InProcServer32
