Klingt nach W32/Netsky.q
W32/Netsky.q (28.03.) ** recht verbreitet **
Alias: W32.Netsky.Q@mm, W32/Netsky-Q, Worm/NetSky.Q, I-Worm.NetSky.r, WORM_NETSKY.Q
Typ: EXE (Win32), Wurm (~28 KB)
Verbreitung: E-Mail, P2P
nutzt Sicherheitslücke (MS01-020) in älteren IE-Versionen (IE 5.x ohne SP2, inkl. Outlook Express)
Absenderangabe: verschieden (gefälscht!)Betreff/Subject: verschieden, enthält E-Mail-Adresse des Empfängers, siehe Info-Links
Nachricht: verschieden, siehe Info-Links
Betreff und Nachricht täuschen eine Fehlzustellung einer Mail vor
Anhang: 28,008 KB, Dateiname verschieden, bestehend aus:
1. "data" | "mail" | "msg" | "message" | "Note"
2. Zufallszahlen
3. Endung .eml, .pif, .scr oder .zip
z.B.: "msg3789.zip"
im Falle der EML-Endung kann eine angehängte Mail angezeigt werden, mit Anhang "message.pif"
Symptome: Existenz der Dateien SysMonXP.exe, firewalllogger.txt im Windows-Verzeichnis
sowie des Registry-Eintrags "SysMonXP = %Windir%\SysMonXP.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, löscht div. Registry-Schlüssel und -Einträge
Gegenmittel: kostenlos bei Trend Micro
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro
Quelle:
http://www.tu-berlin.de/www/software/virus/aktuell.shtmlMehr Infos darüber z.B. unter
http://www.symantec.com/region/de/[email protected]