"Netsky.Q" soll Tauschboersen attackieren - WatchTower - 04.04.2004
Zitat:Nun doch als gefaehrlich eingestuft
Er ist zwar erst am Sonntag aufgetaucht, hat sich aber bereits weltweit verbreitet: "Netsky.Q" wurde nun von Antiviren-Software-Herstellern doch gefaehrlicher eingestuft als zu Beginn.
Der Wurm nuetzt wie auch seine Vorgaenger alte Sicherheitsluecken im Internet Explorer, um den Mail-Anhang automatisch auszufuehren.
In Folge verschickt sich "Netsky.Q" nicht nur per Mail selber weiter, er ist auch dazu programmiert, von infizierten Rechnern eine Denial-of-Service-Attacke gegen P2P-Tauschboersen wie etwa KaZaA und eDonkey zu starten. Das soll zwischen 7. und 12. April geschehen.
Wurm als Erziehungsmassnahme
Im Code von "Netsky.Q" findet sich erneut eine Nachricht der Verfasser. Diese geben sich als "SkyNet Anti-Virus-Team" aus und behaupten, sie wollten die User erziehen und den Tausch von illegalem Content bekaempfen.
"Netsky.Q" soll Tauschboersen attackieren - Feltzkrone - 04.04.2004
Reg ich mich nicht drueber auf. Wenn ich mich darueber freue, wenn die RIAA per Wurm/DoS-Attacke angegriffen wird, dann ist das hier auch okay. Ersteres war letztendlich auch als nichts anderes als eine "Erziehungsmassnahme" gedacht.
Die Ansichten der Musikindustrie und der User klaffen zu weit auseinander. Beide muessten sich annaehern, also find ich es auch okay, dass beide Ziel einer solchen Attacke geworden sind. (Im Verhaeltnis gesehen, die Wahl der Mittel/Attacke lass ich mal so dahingestellt.) Letztendlich sind die User ja selber schuld wenn sie so einen Stuss wie Outlook oder IE benutzen.
Ein ordentlicher E-Mail-Client versteht kein HTML und erst recht kein Javascript oder VBS und fuehrt nicht von selbst irgendwelche scheiss Anhaenge aus. Von daher liegt eine "Erziehungsmassnahme" bei Wuermen vermutlich auch darin, den Usern Outlook madig zu machen. Gut so!
"Netsky.Q" soll Tauschboersen attackieren - OnlyEnemyMyself - 04.04.2004
mal ne frage gibt es gegen diesen wurm schon ein anti wurm proggie???
"Netsky.Q" soll Tauschboersen attackieren - WatchTower - 04.04.2004
Zitat:Win32/Netsky.Q ist unterwegs
Die inzwischen siebzehnte Variante des E-Mail-Wurms Netsky treibt seit gestern ihr Unwesen. Von befallenen Rechnern aus startet der Wurm eine DoS-Attacke gegen einige Peer-to-Peer-Anbieter.
W32/Netsky-Q alias Win32/Netsky.P kommt als Attachment in Dateien mit den Endungen .pif (Program Information File) und .zip. In der Betreffzeile sind Eintraege wie "Delivery Error", "Error" oder "Server Error" zu lesen.
Der Wurm kopiert sich als SysMonXP.exe in den Windows-Ordner und legt eine DLL-Datei als firewalllogger.txt im Windows-Ordner ab. Nach Angaben von Sophos erstellt der Wurm dann den Registrierungseintrag „HKLM Software Microsoft Windows CurrentVersion Run SysMonXP“, so dass er beim Systemstart aktiviert wird. Wenn er von einer anderen Datei als SysMonXP im Windows-Ordner gestartet wird, versucht Netsky.Q, die Datei TEMP.EML zusaetzlich zu seinem normalen Start in Notepad zu oeffnen, so der Antivirenspezialist.
Auf dem infizierten Rechner verschickt sich der Wurm an Mail-Adressen, die er in Dateien mit Erweiterungen wie "txt", "php", "htm" und "html" aufspuert.
Nach Erkenntnissen von F-Secure ist der Wurm programmiert, um sich am 31. Maerz 2004 sowie am 5., 12., 19., und 26. April 2004 zu vermehren. Zwischen dem 7. und dem 12. April 2004 plane der Wurm dann eine Denial-of-Service–Attacke gegen Tauschboersen wie Kazaa und E-Mule.
Die Experten von F-Secure haben zudem versteckte Textpassagen im Code der Malware entdeckt. Der Netsky-Autor beziehungsweise die Autoren geben an, dem russischen "SkyNet Antivirus Team" anzugehoeren. Im Code sei zudem zu lesen: "We don't have any criminal inspirations [sic]. Due to many reports, we do not have any backdoors included for spam relaying”.
Vor wenigen Wochen entdeckten Virenexperten versteckte Botschaften in Netsky.F, B(e)agle.K und Mydoom.H, die auf einen Krieg zwischen den Viren-Programmierern schliessen liessen. Hinweise zum Entfernen des Wurms finden Sie hier bei Sophos. (bsc)
<a href='http://www.tecchannel.de/news/internet/15009/' target='_blank'>http://www.tecchannel.de/news/internet/15009/</a>
"Netsky.Q" soll Tauschboersen attackieren - Totenmond - 11.04.2004
Sehr unterhaltsam, dieses...
|