zurück zur Übersicht

 

  W32.Netsky.Q
Virus-Information 		aktualisiert
29.03.2004-15:37 		 

Name: 

W32.Netsky.Q (W32.Netsky.Q@mm)
Alias in V-Check W32/Netsky-Q
Datum:  29.03.2004
Typ:  Massen-Mail-Wurm mit Attachment
Betrifft:  alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Auswirkung: 

Wird W32.Netsky.Q durch Öffnen des Attachments (Doppelklick) aktiviert, ...

... kopiert er sich ins Windows/system-Verzeichnis mit dem Namen "SysMonXP.exe"
... kopiert er die DLL-Massenmail-Komponente ins Windows/system-Verzeichnis mit dem Namen "Firewalllogger.txt"

 
Info: 

W32.Netsky.Q benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Deliver Mail (name@empfaenger.at)
Delivered Message (name@empfaenger.at)
Delivery (name@empfaenger.at)
Delivery Bot (name@empfaenger.at)
Delivery Error (name@empfaenger.at)
Delivery Failed (name@empfaenger.at)
Delivery Failure (name@empfaenger.at)
Error (name@empfaenger.at)
Failed (name@empfaenger.at)
Failure (name@empfaenger.at)
Mail Delivery failure (name@empfaenger.at)
Mail Delivery System (name@empfaenger.at)
Mail System (name@empfaenger.at)
Server Error (name@empfaenger.at)
Status (name@empfaenger.at)
Unknown Exception (name@empfaenger.at)

Folgende Attachments deuten auf ein infiziertes eMail hin:

data
mail
msg
message

Das Attachment kann zwei Erweiterungen haben. - zB: "data.txt.zip"
Ist dies der Fall, so ist die erste Dateierweiterung eine der folgenden:
Die letzte Dateierweiterung ist in jedem Fall eine der folgenden:
.pif
.zip

Bsp.: "message.eml      ... 100 Leerzeichen ....     .scr"

Die Nachricht selbst kann so aussehen:

Note: Received message has been sent as a binary file.
Modified message has been sent as a binary attachment.
Received message has been sent as an encoded attachment.
Translated message has been attached.
Message has been sent as a binary attachment.
Received message has been attached.
Partial message is available and has been sent as a binary attachment.
The message has been sent as a binary attachment.

 

W32.Netsky.Q kann auch anhand folgender Registryeinträge erkannt werden:
Warnung: Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!
 

  1. HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
    "Sysmonxp" = "%Systemverzeichnis%\SysMonXP.exe"
     

 

Links:   
Entfernung: 

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:
1.   Virenscanner-Prüfung: Alle infizierten Dateien löschen.
2.   Entfernen der Registrierungseinträge "Sysmonxp" = "%Systemverzeichnis%\SysMonXP.exe"

Entfernungs-Tools:
Ikarus-Software (EXE-Datei) Netsky A-Q

 

zurück zur Übersicht