kallinger
Goto Top

Win32 Netsky-AF

` Morgen,

ich habe folgendes Problem:

Win32:Netsky-AF ...

Wo wohnt der ... :-P
Ich habe schon im Internet gesucht, habe aber nichts gefunden. Ein User ist auf mich zugekommen und wollte wissen ob das ein Wurm/Virus ... ist. Er hat ne Mail Privat erhalten.
Wär supi, wenn jemand schon ne Erfahrung gemcht hat !?!?

_________________
Grüße Kallinger

Content-Key: 55775

Url: https://administrator.de/contentid/55775

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: cykes
cykes 04.04.2007 um 08:43:37 Uhr
Goto Top
Hi,

dabei handelt es sich um einen EMail Wurm, weitere Infos findest z.B. bei Kaspersky:
http://www.viruslist.com/de/viruses/encyclopedia?virusid=61628

Welchen Virenscanner setzt er denn ein?
Ich würde mal einen Scan im abgesicherten Modus oder einen Offline Scan mit einer BartPE CD durchführen.

Allgemeine Entfernungstipps zum Netsky Wurm findest Du hier:
http://www.sophos.de/support/disinfection/netskyb.html

Gruß

cykes
Mitglied: Kallinger
Kallinger 04.04.2007 um 09:00:39 Uhr
Goto Top
Wunderbar .. thx

Er verwendet McAfee Standart (?!?!)

________________
Grüße Kallinger
Mitglied: gnarff
gnarff 04.04.2007 um 16:46:30 Uhr
Goto Top
Hallo Kallinger!
Netsky ist Netsky, egal welche Variante Du da nun hast.
Er infiziert deinen Rechner via Email und verbreitet sich dann im Netzwerk ueber die Netzwerkfreigaben.

Das Schadprogramm kopiert sich in den Windows-Ordner als MsnMsgrs.exe, dieser Prozess wird auch in den Autostart-Orner eingetragen.
Folgender Registrierdatenbankschluessel wird hierbei angelegt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev

Sodann durchsucht der Schaedling deine Festplatte nach Ordnern mit den folgenden Endungen:
*.SCS, *.OFT, *.SHT, *.DBX, *.TBB, *.ADB, *.DOC, *.WAB, *.ASP, *.UIN, *.RTF, *.VBS, *.HTML, *.HTM, *.PL, *.PHP, *.TXT und *.EML

Der Schaedling erstellt ueberdies die folgenden Dateien:
ota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
...und kopiert Diese in Ordner die in Ihrer Namensbezeichnung das Wort "shared", "share" oder "sharing" enthalten.

Da der "Macher" des Netsky-AF Brasilianer ist, ist es nicht verwunderlich dass der Schaedling sich durch E-mails in portugiesischer Sprache praesentiert und natuerlich ueber einen Dateianhang, ebenfalls in gleicher Sprache verfuegt.
Der Dateianhang liegt in folgendem Format vor:
*.TXT, *.DOC, *.RTF, *.HTM, *.PIF, *.COM, *.SCR sowie *.BAT

Innerhalb dieses Anhanges befinden sich ausfuehrbare Dateien.

Entfernung des Schaedlings:
1. Sicherungskopie der Registrierdatenbank anlegen
2. Systemwiederherstellung ausschalten
3. In den abgesicherten Modus gehen
4. Folgenden Registrierdatenbankschluessel loeschen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev

5. Alle bereits oben genannten Dateien suchen und loeschen
6. Rechner Neu starten

saludos
gnarff
Mitglied: Kallinger
Kallinger 11.04.2007 um 10:48:03 Uhr
Goto Top
Hi,

ein RIESEN Dankeschön an gnarff

Echt super ... Tolle Erklärung

thx
__________
Grüße Kallinger