Viren, Würmer und Trojaner, Virenscanner und Personal Firewalls
Viren, Würmer und Trojanische Pferde (Trojaner), Virenscanner und Personal Firewalls

 

Anzeige

Computerviren
Würmer & Wurm-Viren
Dialer & Trojanische Pferde
Mythen, Hoaxes & Scherzviren

Virenschutz mit Scannern & Co
Firewalls gegen Trojaner und so

Tipps
 · 'Sasser'-Wurm
 · 'Mail ist virenfrei'
 · 'Sie sind infiziert'
 · Sober.C
 · Netsky.B
 · MyDoom.A/B
 · Bugbear/Tanatos
 · Klez
 · F&A: IP zeigen

Tools, die ich empfehle
Für Sie gelesen - mein Buch ist nicht das einzige

Presseinformationen
Impressum / Info: Wer macht diese Site?
E-Mail

W32.Netsky.B@mm

alias I-Worm.Moodown.b, WORM_NETSKY.B, W32/Netsky.B.worm, Moodown.B, ...

Wie kriegt man ihn?

Netsky.B ist yet another Massenmailing-Wurm. Er verbreitet sich per E-Mail-Nachricht und ueber freigegebene Laufwerke, also per Mail, Wurm-typisch wieder über einen E-Mail-Anhang, den man anklicken muss, um sich zu infizieren. Jeder, der allgemeine Tipps zum Virenschutz beherzigt (vor allem: "Klicke auf keinen Dateianhang"), müsste eigentlich verschont bleiben.

Wie erkennen Sie ihn?

Eigentlich am besten daran, dass überhaupt nichts Mitteilenswertes drinsteht und auch der Betreff so nichtssagenden Stuss enthält wie hi, hello, read it immediately, something for you, warning, information, stolen, fake, unknown oder ähnliche Unverbindlichkeiten, _und_ das Sie unerwartet eine Mail mit einem Anhang bekommen, obwohl Sie gerade jetzt keine Mail mit einem Anhang von gerade dieser Person erwartet haben.
So sieht das dann aus:



Hinweis: Im Betreff meines Screenshots steht noch ein [Spam_K9] drin; das stammt von einem Spamfilter namens K9 (gratis zu haben auf http://keir.net/k9.html). Dieser selbstlernende Spam-Filter ist nach einigen Monaten so gut trainiert, dass er sogar Viren- und Wurm-Mails als Spam erkennt und wegsortiert - eine echte Empfehlung! Allerdings für absolute PC-Einsteiger _möglicherweise_ zu schwer zu bedienen. Mein Rat: Einfach Mut haben und ihn trotzdem ausprobieren! Es lohnt sich! (Geht nur mit echten POP3-Mailkonten, kein AOL.))

Der Cyber-Parasit kann aber auch anders aussehen, die Dateianhänge können anders heissen (zum Beispiel document, details, attachment, mails, object, mail2, part2, misc und andere mehr) und andere Endungen haben (vorgetäuschte wie .txt .rtf .doc .htm, echte wie .exe .scr .com .pif, daraus resultierende wie .txt.exe, .rtf.scr ...).

Auf einem infizierten PC versteckt sich der Wurm als Prozess namens services.exe in Windows. Das ist trickreich, denn es gibt (in Windows und Windows XP, nicht in Windows 9x/ME) einen Windows-eigenen Prozess, der ganz genauso heisst. Anwender, deren Personal Firewalls nun den Zugriff von services.exe melden, dürfen sich also fragen, ob das normal ist - oder der Wurm; denn leider ist bisher jeder Hersteller einer Firewall zu faul, für seine 50 Euro Kaufpreis entsprechende Informationen zu Windows-eigenen Prozessen zu liefern.

Wahr ist: Der Dienst services.exe ist fester Bestandteil von Windows und braucht daher auch Zugriff aufs Internet, damit andere Programme aufs Internet zugreifen können. Die Windows-Datei services.exe liegt aber im Verzeichnis c:[Windows-Verzeichnis]\system32\, zum Beispiel
c:\windows\system32\
, der Wurm manifestiert sich aber direkt in c:\[Windows-Verzeichnis], zB
c:\windows\

Löschen Sie also auf keinen Fall
c:\[Windows-Verzeichnis]\system32\services.exe
und schöpfen Sie Verdacht bei einer existierenden
c:\[Windows-Verzeichnis]\services.exe

So finden Sie das Biest: Start / Suchen nach services.exe: Wenn alles normal ist (kein Netsky.B-Wurm im System), und man nach services.exe sucht, siehts bei Windows 2000 und Windows XP so aus (bei Windows 9x/Me darf kein services.exe existieren, wenn eins da ist, ists der Wurm):


Normal bei Win 2K/XP: Datei services.exe in \windows\system32\
Unnormal/Virus wäre services.exe in \windows\

Wenn nun zum Beispiel eine
c:\windows\services.exe oder
c:\winnt\services.exe
existiert, sollten Sie misstrauisch werden und die Registry prüfen, wie im nächsten Punkt beschrieben. Auch ein Virenscan mit einem spätestens JETZT aktualisieren Scanner kann nichts schaden.

Sie erkennen den Wurm an einem Registry-Schlüssel in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Das finden Sie so: Wählen Sie Start / Ausführen, geben Sie regedit ein, und suchen Sie den genannten Schlüssel. Wenn dort ein Eintrag namens service vom Typ REG_SZ existiert, der die Zeichenkette [Windows-Verzeichnis]\services.exe -serv enthält, dann ist der Wurm drin.
Das sieht dann etwa so aus:


Argh!: hier ist der Wurm drin!
Abbhilfe: Diesen Eintrag löschen, Windows neu starten, Datei services.exe im Windows-Verzeichnis löschen. Nochmal prüfen, ob alles geklappt hat und das Ding weg ist. Zur Sicherheit einen Virenscan drauflegen.

Was kann er?

Freigaben: Das Vieh kopiert sich in Netzwerkfreigaben, die Namen wie Share oder Sharing haben. Dort erzeugt er dann Dateien wie "hardcore porn.jpg.exe", "eminem - lick my pussy.mp3.pif" oder "max payne 2.crack.exe" - das heisst auch, dass man in Tauschsystemen besser nicht nach so nem Zeug sucht. (Mein Rat: Aus Tauschsystemen sollte man GAR NICHTS rausholen, was "ausführbar" (=EXE COM BAT PIF ...) ist, also nur MP3, OGG, AVI, OGM, MPG - schon von der Endung ASF würde ich die Finger lassen, denn da können Scripte drinstecken, die Webseiten aufrufen... auch bootbaren ISO-Images würde ich meiden.

Der Wurm löscht verschiedene Registry-Einträge, darunter auch solche, die einen Aufruf von Virenprogrammen enthalten. Und ich habs nicht ausprobiert, aber angeblich löscht Netsky.B einen vorhandenen MyDoom-Wurm. Um mit Philip K. Dick ('Variante 2') zu sprechen: Kaum werden die Dinger intelligent, bringen sie sich gegenseitig um...

Wie schützen Sie sich?

Öffnen Sie keinen, keinen, keinen, keinen Dateianhang egal welcher Art, es sei denn, sie wissen ganz gewiss, dass ganz bestimmt _diese eine Datei_ von _dieser einen, Ihnen wirklich bekannten_ Person _heute, jetzt und hier wirklich_ *an Sie* geschickt werden sollte. Rufen Sie zur Not an und fragen Sie nach.

Viren-Schutz: Downloaden Sie bei Gelegenheit ein Gegenmittel wie Antivir Personal Edition auf www.free-av.de (privat frei nutzbar) oder Bitdefender Free Edition auf www.bitdefender.de . Installieren Sie Demos, Testscanner und freie Virenprogramme nur, wenn nicht bereits ein Virenwächter läuft - zwei Virenwächter killen Ihr System. (Bitdefender Free Edition geht theoretisch parallel zu Antivir PE, den Bitdefender hat keinen Wächter - aber dazu sollte man sich auskennen.)

 

Wo gibts Infos?

Solidere Infos bieten Ihnen die Viren-Lexika.
Deutschsprachige Infos speziell zu diesem Bit-Tierchen:

www.bsi.bund.de zu W32.Netsky.B@mm
H+BEDV zu Worm/NetSky.B
www.sophos.de zu W32/Netsky-B
Ikarus Software zu I-Worm.Netsky.B
Trend Micro zu WORM_NETSKY.B

Ein Removal-Tool finden Sie u.a. auf www.bitdefender.de/html/free_tools.php

 

 
·

Anzeige

Google

Alles über Viren und Virenschutz finden Sie in diesem (von mir uneingeschränkt empfohlenen :-) Buch:

Andreas Winterer: Viren, Würmer und Trojanische Pferde, DATA BECKER Verlag


Andreas Winterer: PC Underground: Viren, Würmer und Trojanische Pferde, ISBN 3815822653, 510 Seiten, € 14,95
» Zu haben .. nicht mehr, denn es ist leider ausverkauft. Gebraucht bei Tandlern und evtl. bei Onlinern wie Amazon.de

 

 

 

Text/Design viren-wuermer-trojaner.de + scareware.de
© Andreas Winterer All Rights Reserved · Disclaimer/ Haftungsausschluss
Besuchen Sie auch: winterer.de | cosmopollite.de