EVIL 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Wollte nur mal alle darauf vorbereiten das seit heute mittag Netsky in der Variante D+E im Umlauf sind. Bei mir war in der Firma jeder unten aufgeführter Name im Dateianhang mind. 2 x angekommen :suspect: Hier die Merkmale von Netsky.D: Beschreibung: Worm/NetSky.D ist ein Massenmailer, mit einer Größe von 17.424 Bytes. Er nutzt seine eigene SMTP Engine zum Versand von Emails. Somit ist der Wurm auf keinen Email-Client mehr angewiesen. Er durchsucht Dateien auf allen lokalen Laufwerken und freigegebenen Verzeichnissen nach Emailadressen, an die er sich versenden kann. Eine von Worm/NetSky.D versendete Email kann unterschiedliches aussehen besitzen. Hierzu nutzt der Wurm eine Liste mit Wörtern und Sätzen, die er wahllos zusammensetzt, zum Versand. Der Wurm kopiert sich in das Windows Verzeichnis als WINLOGON.EXE und legt einen passten Eintrag in der Windows Registry an. Infektionsweg: Emailversand mit Hilfe seiner eigenen SMTP Engine Technische Arbeitsweise des Wurms: Worm/NetSky.D ist ein Massenmailer, mit einer Größe von 25.352 Bytes. Er nutzt seine eigene SMTP Engine zum Versand von Emails. Somit ist der Wurm auf keinen Email-Client mehr angewiesen. Er durchsucht Dateien mit folgender Dateierweiterung auf allen lokalen Laufwerken und freigegebenen Verzeichnissen nach Emailadressen, an die er sich versenden kann: .adb, .asp, .cgi, .dbx, .dhtm, .doc, .eml, .htm, .html, .msg, .oft, .php, .pl, .rtf, .sht, .shtm, .tbb, .txt, .uin, .vbs, und .wab Er kopiert sich selbst in das Windows Verzeichnis als WINLOGON.EXE und fügt folgenden Eintrag der Windows Registry hinzu: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run] "ICQ Net" = "%Windir%\winlogon.exe -stealth" Achtung: Die Datei WINLOGON.EXE ist nicht zu verwechseln mit der Originaldatei im SYSTEM32 Verzeichnis von Windows. Eine von Worm/NetSky.D versendete Email kann unterschiedliches aussehen besitzen. Hierzu nutzt der Wurm eine Liste mit Wörtern und Sätzen, die er wahllos zusammensetzt. Somit ist die Betreffzeile, der Email-Body und der Dateinname des Anhangs mit jeder versendeten Email unterschiedlich. Das Subject einer Email kann sich aus einem der folgenden Beispiele zusammensetzen: Re: Approved Re: Details Re: Document Re: Excel file Re: Hello Re: Here Re: Here is the document Re: Hi Re: My details Re: Re: Document Re: Re: Message Re: Re: Re: Your document Re: Re: Thanks! Re: Thanks! Re: Word file Re: Your archive Re: Your bill Re: Your details Re: Your document Re: Your letter Re: Your music Re: Your picture Re: Your product Re: Your software Re: Your text Re: Your websiteDer Dateiname des Anhangs kann sich aus einem der folgenden Beispiele zusammensetzen: all_document application document document_4351 document_excel document_full document_word message_details message_part2 mp3music my_details your_archive your_bill your_details your_document your_file your_letter your_picture your_product your_text your_website yours Dateierweiterung des Wurmes kann sich aus einem der folgenden Beispiele zusammensetzen: .txt .rtf .doc .htm Die zweite Dateierweiterung kann lauten: .exe .scr .com .pif Worm/NetSky.D erstellt im Windows Verzeichnis mehrere ZIP Archive von sich selbst, welche die oben angegebenen Dateinamen des Anhangs besitzen können mit der Dateierweiterung .ZIP. Quelle: http://www.antivir.de'>http://www.antivir.de Eine Beschreibung zu Netsky.E ist in wenigen Stunden auf http://www.antivir.de zu finden..... Seit heute morgen hat unser Server sage und schreibe 60 Warnungen an mich versand. Der Virus war zwar erst seit heut mittag bekannt - aber bis dahin wurden die Dateianhänge trotzdem geblockt. Greetz, Evil Zitieren Link zu diesem Kommentar
Damian 1.533 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Danke für die Info. :) Aber wenn das in diesem Umfang weiter geht, ist das Medium "Email" bald mausetot. :( :mad: Damian Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 Ja, da hast du recht :mad: Diese Viren stören mich nicht so, da ich eh solche dateien am Linux Server mit dem Procmail Sanatizer blocke. Was mich vielmehr stört, ist die Tatsache, das immer mehr Viren sich heutzutage als .zip verschicken :suspect: War bisher noch eine ziemlich sichere Sache (bis vor ein paar Monaten). Ansonsten hab ich eh sämtliche dateien gleich geblockt, die in einer E-Mail nichts zu suchen haben...... In diesem Sinne, Haltet nicht nur eure Antiviren-Programme auf dem laufenden, sondern stellt auch eure Regeln dementsprechend auf die Situation ein..... (Auch Antiviren-Hersteller sind nur menschen, und keine Maschinen, und können nicht immer sofort reagieren).. Greetz, Evil Zitieren Link zu diesem Kommentar
AndiW 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Ich hatte heute meinen ersten Arbeitstag bei einer neuen Firma und wie solls auch anders sein trieb Netsky auch bei uns sein Unwesen. War in einem Benutzerprofil auf einem Terminal Server. Im Grunde haben die Benutzer auch gar nicht die Rechte den Wurm "auszuführen", er trägt sich ja z.B. schließlich auch in die Registry ein und darauf haben sie gar keinen Zugriff, aber dennoch war es ärgerlich. By the way .... welche Antiviren Software würdet ihr in einem mittleren Firmennetz empfehlen? Was ich heute so gesehen hab ist dort Ikarus im Einsatz. Der Mailserver steht extern, darauf haben wir keinen Einfluss was Virenprüfung betrifft. Die meisten Benutzer arbeiten auf Terminal Servern, d.h. diese sollten besonders geschützt sein was Viren betrifft. Würde mich über Tips und Erfahrungen freuen. :) Andi Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Unsere Unix-Freaks testen glaub ich zZ ein Unix-Tool, welches auch in die Zip-Files reinguggt. Ist allerdings wahrscheinlich nicht bei uns einsetzbar weil zuviel Mails. Da bräuchten wir zuviel Kapazität um alle Anhänge zu entpacken und reinzuschauen. Greetz CaIvin Zitieren Link zu diesem Kommentar
Flecki 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Danke Evil, macht doch langsam keinen Spaß mehr ! Muß mich der Meinung von Damian anschliessen!! Wenn das so weiter geht kannste bald gar nicht mehr mailen, der Exchange incl. Virenschutz röddelt wie **** wo soll das noch hinführen ???? Naja unser täglich Brot gib uns heute liebe Virenprogs :mad: Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 @AndiW Mag doof klingen. Aber ich schwör auf die Server/Client von G-Data (AVK AntiVirus). Super Sache. Einfache Verteilung, tägiche (mittlerweile stündliche) Updates. Zentrale, klare, spitzen Bedienung 2 Engines. Einziger Nachteil: Macht die Clients etwas träge. Aber bei modernen Clients no Probs. Bei Win 98 Clients gibt es bei dem Ding auch ein paar Schwierigkeiten, aber die sind lösbar. Rundum für mich die Lösung. Erst recht, wo se seit der neuen Version (2004) auch nen Exchange Agent haben in der Business Suite Security Version. Nicht ganz billig, aber dafür kann man ein 3jahres Premium Update abschließen!!!!!! Ich verlasse mich voll auch das Teil. Vielleicht auch nicht richtig, aber absolut mein Favorit. Flecki wird mir da sicher zustimmen, nachdem ich ihn endlich von dem Norton Mist abbringen konnte ;) Aber mal zu Viren Allgemein: Wo führt das noch hin. War es vor nem Jahr noch so, dass man alle 6 Monate was extrem neues erwarten musste, ist es heute bald jeden Monat!!!!!!! Wenn das so weiter geht, leben wir bald wieder in der Steinzeit!!!! BTW: Kenn mich in UNIX/LINUX nicht so aus, aber kann mir eigentlich mal jemand erklären, wieso es sooooo viele MS Viren gibt, aber kaum LINUX/UNIX Viren???? Obgleich bei LINUX der Kern sogar bekannt ist!!!!! Ich raff das nicht und werde so ganz nebenbei das Gefühl bei dem Gedanken nicht los, dass sämtliche Viren von ..... stammen. Lassen wir das! Ist mein pers. Empfinden Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 So, Beschreibung von Netsky.E ist verfügbar: http://www.antivir.de/vireninfo/netskye.htm und zusätzlich ham se auch gleich noch den neuen Worm/Bagle.H upgedated :mad: Das nimmt heut kein Ende :suspect: Greetz, Evil Zitieren Link zu diesem Kommentar
mirki 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Wenn mir so ein Viren/Wurm Programmierer zwischen die Finger kommt, den werde ich ........ ! @ Wildi. Ich denke das die meisten Viren/wurm Programmierer aus der Linux/unix welt kommen. Denn bekanntlich sind das Windows hasser. Ist halt ein Glaubenskrieg bzw. ein Kreuzzug der neuen Generation. Unix Systemen kann man nicht so leicht einen Schaden zu führen wie es bei Windows der fall ist. Als Antivirus System nutze ich NAI's epolicy Orchestrador und Virusscan auf den client und den groupshield auf den Exchange. Alle Server und Clients werden bei mir seit Wochen jede Stunde, wenn vorhanden, mit einem Update versehen. Heute hat das Ding bei mir in der Firma ca. 180 Emails abgefangen mit der Endung PIF. Einfach genial. Vielleicht sollte man mal Billy Boy auf die Finger hauen, den diese Würmer verbreiten sich nur weil, 1. Windows zu viele Lücken hat 2. immer noch seh viele "möchtegern" admin's die Systeme nicht patche usw. mirki Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Hi ! Ich versteh eigentlich garnicht, wie die letzten Virenvarianten sich überhaupt so rasant verbreiten konnten. Als Beispiel: Mein Kollege (Admin) bekam eine Mail aus Schweden mit englischen Text !!! - Er kennt keinen in Schweden ! Als Anhang lag eine ZIP bei, die entpackt ein *.scr - file enthielt ! (MyDoom). Der NormalUser (des Englischen nicht mächtig) müßte also eine englischsprachige Mail aus Schweden (wo er keinen kennt) öffnen, das Zipfile entpacken (falls er weiß, wie das geht) und dann den "Bildschirmschoner", den er garnicht haben wollte, starten !!! Wieso haben sich MyDoom und Varianten so rasant verbreitet ? Haun die wirklich alle auf die Tasten, damit es mit MyDoom auch weitergeht ("SCO-Hasser ?"). :D Zitieren Link zu diesem Kommentar
mirki 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 ich ergänze : Punkt 3 : DAU's tragen auch zu der Verbreitung von Würmern bei. mirki P.S. mich rief so einer heute an und fragte : " ist Word unsere textverarbeitungs Software ? " Er ist mitte 30 und arbeitet seit ca. 6 Jahren mit Word !!! Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 Hi zuschauer ;) Ich denke, die leute überlegen garnicht. Und, wie ich oben schon sagte, ist das vertrauen in .zip files wohl noch sehr hoch.... Im Zeitalter des "spams" ist eine englische Mail ja leider nichts mehr ungewöhnliches..... Und da viele Absender gespooft werden siehts dann so aus: Ach, eine Mail von meinem schwager - mal sehen, was er so schreibt..... Die Biester sind schon echt fies geworden mittlerweile :mad: Mein Chef war lt. Sober.C mit einem Abteilungsleiter in einer Klasse, und hat von ihm Klassen-Fotos im Zip File per mail bekommen :suspect: Obwohl die nur 10m auseinander ihre Büros haben .... Greetz, Evil Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 @flo, na wer geht denn heute noch 10m, wenn es doch eMail gibt? Bist Du wahnsinnig? Da könnt ma doch abnehmen :D Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 1. März 2004 Autor Melden Teilen Geschrieben 1. März 2004 :D @Roland: Ich dachte bisher immer, faulsein, und vor der kiste hocken sei den Admins vorbehalten :shock: Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. März 2004 Melden Teilen Geschrieben 1. März 2004 Ist es auch, aber musst Du das hier so breit treten? Oje oje, kannst doch hier nicht einfach die Adminhosen runter lassen. Bissu wahnsinnig? :shock: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.