Win32 Netsky-AF
` Morgen,
ich habe folgendes Problem:
Win32:Netsky-AF ...
Wo wohnt der ... :-P
Ich habe schon im Internet gesucht, habe aber nichts gefunden. Ein User ist auf mich zugekommen und wollte wissen ob das ein Wurm/Virus ... ist. Er hat ne Mail Privat erhalten.
Wär supi, wenn jemand schon ne Erfahrung gemcht hat !?!?
_________________
Grüße Kallinger
ich habe folgendes Problem:
Win32:Netsky-AF ...
Wo wohnt der ... :-P
Ich habe schon im Internet gesucht, habe aber nichts gefunden. Ein User ist auf mich zugekommen und wollte wissen ob das ein Wurm/Virus ... ist. Er hat ne Mail Privat erhalten.
Wär supi, wenn jemand schon ne Erfahrung gemcht hat !?!?
_________________
Grüße Kallinger
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55775
Url: https://administrator.de/forum/win32-netsky-af-55775.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Hi,
dabei handelt es sich um einen EMail Wurm, weitere Infos findest z.B. bei Kaspersky:
http://www.viruslist.com/de/viruses/encyclopedia?virusid=61628
Welchen Virenscanner setzt er denn ein?
Ich würde mal einen Scan im abgesicherten Modus oder einen Offline Scan mit einer BartPE CD durchführen.
Allgemeine Entfernungstipps zum Netsky Wurm findest Du hier:
http://www.sophos.de/support/disinfection/netskyb.html
Gruß
cykes
dabei handelt es sich um einen EMail Wurm, weitere Infos findest z.B. bei Kaspersky:
http://www.viruslist.com/de/viruses/encyclopedia?virusid=61628
Welchen Virenscanner setzt er denn ein?
Ich würde mal einen Scan im abgesicherten Modus oder einen Offline Scan mit einer BartPE CD durchführen.
Allgemeine Entfernungstipps zum Netsky Wurm findest Du hier:
http://www.sophos.de/support/disinfection/netskyb.html
Gruß
cykes
Hallo Kallinger!
Netsky ist Netsky, egal welche Variante Du da nun hast.
Er infiziert deinen Rechner via Email und verbreitet sich dann im Netzwerk ueber die Netzwerkfreigaben.
Das Schadprogramm kopiert sich in den Windows-Ordner als MsnMsgrs.exe, dieser Prozess wird auch in den Autostart-Orner eingetragen.
Folgender Registrierdatenbankschluessel wird hierbei angelegt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev
Sodann durchsucht der Schaedling deine Festplatte nach Ordnern mit den folgenden Endungen:
*.SCS, *.OFT, *.SHT, *.DBX, *.TBB, *.ADB, *.DOC, *.WAB, *.ASP, *.UIN, *.RTF, *.VBS, *.HTML, *.HTM, *.PL, *.PHP, *.TXT und *.EML
Der Schaedling erstellt ueberdies die folgenden Dateien:
ota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
...und kopiert Diese in Ordner die in Ihrer Namensbezeichnung das Wort "shared", "share" oder "sharing" enthalten.
Da der "Macher" des Netsky-AF Brasilianer ist, ist es nicht verwunderlich dass der Schaedling sich durch E-mails in portugiesischer Sprache praesentiert und natuerlich ueber einen Dateianhang, ebenfalls in gleicher Sprache verfuegt.
Der Dateianhang liegt in folgendem Format vor:
*.TXT, *.DOC, *.RTF, *.HTM, *.PIF, *.COM, *.SCR sowie *.BAT
Innerhalb dieses Anhanges befinden sich ausfuehrbare Dateien.
Entfernung des Schaedlings:
1. Sicherungskopie der Registrierdatenbank anlegen
2. Systemwiederherstellung ausschalten
3. In den abgesicherten Modus gehen
4. Folgenden Registrierdatenbankschluessel loeschen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev
5. Alle bereits oben genannten Dateien suchen und loeschen
6. Rechner Neu starten
saludos
gnarff
Netsky ist Netsky, egal welche Variante Du da nun hast.
Er infiziert deinen Rechner via Email und verbreitet sich dann im Netzwerk ueber die Netzwerkfreigaben.
Das Schadprogramm kopiert sich in den Windows-Ordner als MsnMsgrs.exe, dieser Prozess wird auch in den Autostart-Orner eingetragen.
Folgender Registrierdatenbankschluessel wird hierbei angelegt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev
Sodann durchsucht der Schaedling deine Festplatte nach Ordnern mit den folgenden Endungen:
*.SCS, *.OFT, *.SHT, *.DBX, *.TBB, *.ADB, *.DOC, *.WAB, *.ASP, *.UIN, *.RTF, *.VBS, *.HTML, *.HTM, *.PL, *.PHP, *.TXT und *.EML
Der Schaedling erstellt ueberdies die folgenden Dateien:
ota!.zip.scr
aninha gatinha!.zip.scr
importante!!!!!.zip.scr
minhavida!.zip.exe
comoserrico!.zip.scr
vida!!.zip.scr
receitas de bolo!!.zip.scr
celulares!!.zip.scr
clica ai logo meu.scr
rede globo tv!.zip.scr
rocha.scr
paula!.scr
Carnaval em Salvador!!.zip.scr
vadias peladas!!.scr
cafe!!.zip.scr
traficoemSP!.scr
MulataDandoOcujpg.scr
multas.pif
caspa.scr
barrio.scr
ResidentEvil2.zip.scr
puteiros!!.scr
Canaval2004!.jpg.pif
VivaNaBaia!.scr
...und kopiert Diese in Ordner die in Ihrer Namensbezeichnung das Wort "shared", "share" oder "sharing" enthalten.
Da der "Macher" des Netsky-AF Brasilianer ist, ist es nicht verwunderlich dass der Schaedling sich durch E-mails in portugiesischer Sprache praesentiert und natuerlich ueber einen Dateianhang, ebenfalls in gleicher Sprache verfuegt.
Der Dateianhang liegt in folgendem Format vor:
*.TXT, *.DOC, *.RTF, *.HTM, *.PIF, *.COM, *.SCR sowie *.BAT
Innerhalb dieses Anhanges befinden sich ausfuehrbare Dateien.
Entfernung des Schaedlings:
1. Sicherungskopie der Registrierdatenbank anlegen
2. Systemwiederherstellung ausschalten
3. In den abgesicherten Modus gehen
4. Folgenden Registrierdatenbankschluessel loeschen:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
MsnMsgr = %WINDOWS%\MsnMsgrs.exe -alev
5. Alle bereits oben genannten Dateien suchen und loeschen
6. Rechner Neu starten
saludos
gnarff