Virus Warnung

[hisch]

ach ja hier ein tip zum entfernen sollte jemand betroffen sein
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.

Windows NT/2000/XP/2003

Unter Windows NT/2000/XP/2003 müssen Sie außerdem den folgenden Registrierungseintrag bearbeiten. Die Entfernung dieses Eintrags ist unter Windows 95/98[me=hisch]optional. [/me]

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
service= "C:\\WINDOWS\\services.exe -serv"

Löschen Sie den Eintrag, sofern er existiert.

Schließen Sie den Registrierungseditor.

[hisch]

W32/Netsky-C ist ein Wurm, der sich über freigegebene Netzwerke verbreitet und indem er sich per E-Mail an Adressen sendet, die er in Dateien auf den Laufwerken C: bis Z: findet

Die Betreffzeile der E-Mail, der Text und die Namen der angehängten Dateien werden zufällig aus Listen innerhalb des Wurms ausgewählt.

Der Name der angehängten Datei wird ausgewählt aus:

associal, msg, yours, doc, wife, talk, message, response,
creditcard, description, details, attachment, pic, me, trash,
card, stuff, poster, posting, portmoney, textfile, moonlight,
concert, sexy, information, news, note, number_phone, bill,
mydate, swimmingpool, class_photos, product, old_photos, topseller,
ps, important, shower, myaunt, aboutyou, yours, nomoney, birth,
found, death, story, worker, mails, letter, more, website,
regards, regid, friend, unfolds, jokes, doc_ang, your_stuff,
location, 454543403, final, schock, release, webcam, dinner,
intimate stuff, sexual, ranking, object, secrets, mail2, attach2,
part2, msg2, disco, freaky, visa, party, material, misc,
nothing, transfer, auction, warez, undefinied, violence, update,
masturbation, injection, naked1, naked2, tear, music, paypal,
id, privacy, word_doc, image oder incest.

Die Erweiterung des Attachments ist ZIP, COM, EXE, PIF oder SCR. Davor kann allerdings eine der folgenden gesetzt werden: .DOC, .HTM, .RTF oder .TEXT. (z. B.visa.htm.scr)

Wenn er erstmals ausgeführt wird, kopiert sich W32/Netsky-C als winlogon.exe in den Windows-Ordner und erstellt den folgenden Registrierungseintrag, so dass winlogon.exe automatisch beim Start von Windows aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ICQNet
= <WINDOWS>\winlogon.exe -stealth

W32/Netsky-C verbreitet sich über Dateiaustausch-Netzwerke, indem er sich in Ordner auf den Laufwerken C: bis Z: kopiert, deren Namen die Zeichenfolge "Shar" enthält. Beim Kopieren verwendet er einen der folgenden Dateinamen, der zufällig aus dieser Liste ausgewählt wird:

1000 Sex and more.rtf.exe
3D Studio Max 3dsmax.exe
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Adobe Premiere 9.exe
Ahead Nero 7.exe
Best Matrix Screensaver.scr
Clone DVD 5.exe
Cracks & Warez Archive.exe
Dark Angels.pif
Dictionary English - France.doc.exe
DivX 7.0 final.exe
Doom 3 Beta.exe
E-Book Archive.rtf.exe
Full album.mp3.pif
Gimp 1.5 Full with Key.exe
How to hack.doc.exe
IE58.1 full setup.exe
Keygen 4 all appz.exe
Learn Programming.doc.exe
Lightwave SE Update.exe
Magix Video Deluxe 4.exe
Microsoft Office 2003 Crack.exe
Microsoft WinXP Crack.exe
MS Service Pack 5.exe
Norton Antivirus 2004.exe
Opera.exe
Partitionsmagic 9.0.exe
Porno Screensaver.scr
RFC Basics Full Edition.doc.exe
Screensaver.scr
Serials.txt.exe
Smashing the stack.rtf.exe
Star Office 8.exe
Teen Porn 16.jpg.pif
The Sims 3 crack.exe
Ulead Keygen.exe
Virii Sourcecode.scr
Visual Studio Net Crack.exe
Win Longhorn Beta.exe
WinAmp 12 full.exe
Windows Sourcecode.doc.exe
WinXP eBook.doc.exe
XXX hardcore pic.jpg.exe

W32/Netsky-C versucht, die folgenden Registrierungseinträge zu löschen, sofern sie existieren:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Taskmon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\KasperskyAv
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\system.
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\system.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\service
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sentry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\msgsrv32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\DELETE ME
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\D3dupdate.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\au.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OLE
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows services host
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows services host
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKLM\System\CurrentControlSet\Services\WksPatch
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Wenn der Wurm am 26. Februar 2004 zwischen 6.00 und 9.00 Uhr gestartet wird, kann dies dazuführen, dass der Computer sporadisch piept

[hisch]

netsky in neuer version
Netsky.D überflutet die Mail-Server


Akute Wurm-Epidemie: Netsky.D
Antiviren-Hersteller und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor einer neuen Viren-Epidemie, hervorgerufen von einer Modifikation des Internet-Wurms Netsky. Die D-Variante versendet sich selbst an Mail-Adressen, die der Schädling beim Durchsuchen der Festplatte findet. Wie seine Vorgänger verbreitet sich Netsky.D als Mail-Anhang über eine eigene Mail-Engine mit gefälschten Absenderadressen. Wer in die Falle tappt, riskiert, dass sein PC als Viren-Schleuder missbraucht wird.

[hisch]

Bagle-Varianten können für böses Erwachen sorgen
Die Viren-Forscher von Sophos warnen Computeranwender vor fünf neuen Bagle-Würmern, die seit dem Wochenende die Runde im Internet machen. Sophos empfiehlt allen Nutzern, ihre Antiviren-Software schnellstmöglich zu aktualisieren, um sich vor den E-Mail- Attacken zu schützen.

Der britische Viren- und Spamschutz-Entwickler hat viele Reports zu den Varianten Bagle-C, Bagle-D, Bagle-E und Bagle-F sowie Bagle-G erhalten. Wenn am ersten Arbeitstag der Woche wie gewöhnlich E-Mails abgerufen werden, ist die Gefahr einer Infektion besonders hoch, da die Anwender noch nicht entsprechend geschützt sind. Die Variante Bagle-C ist den Berichten zufolge am häufigsten verbreitet.

"Die Bagle-Würmer nutzen eine Vielzahl von Tricks, um ihre bösen Absichten zu verschleiern. Sie kommen im E-Mail-Posteingang mit verschiedensten Betreffzeilen an, wie 'Price list', 'My photos' und wechselnde Frauennamen", sagt Pino von Kienlin, Managing Director von Sophos Deutschland. "Mein Rat ist jedoch für alle Varianten der gleiche: Hände weg von unangeforderten E-Mails mit Anhang. Bei rund 800 neuen Viren jeden Monat ist es für Unternehmen und Anwender unerlässlich, einen automatisierten Virenschutz gegen die aktuellen Schadprogramme zu installieren."

Sophos-Experten haben herausgefunden, dass Bagle-F und Bagle-G einen besonders raffinierten Trick einsetzen, um die Erkennungsfunktion der Antiviren- Software am E-Mail-Gateway und der ISP-Virenscanning- Dienste zu umgehen. Die Würmer können als Passwort- geschützte Zip-Datei auftauchen, wodurch die E-Mail- Virenscanner in die Irre geführt werden und den Virus nicht erkennen können.

"Egal, wie gut ein Internet Service Provider, Internet-E-Mail-Konto oder Antiviren-Gateway-Produkt beim Scannen von E-Mails ist - bei einem Wurm in verschlüsselten Zip-Dateien bleibt immer ein Restrisiko", ergänzt von Kienlin. "Deshalb sollte ein vielschichtiger Sicherheits-Ansatz gewählt werden, bei dem bis hin zum Desktop alle möglichen Kanäle für Schadprogramme verriegelt sind. Auf diese Weise kann ein Unternehmen gewiss sein, dass Computer- Nutzer keinen verseuchten Code starten können."

[hisch]

Netsky-D Wurm in PIF-Datei verborgen
Sophos hat viele Berichte zu dem E-Mail-fähigen Wurm Netsky-D (W32/Netsky-D) erhalten. Der Wurm verbreitet sich über eine PIF-Datei, die einer E-Mail anhängt. Sophos warnt besonders, weil der Wurm innerhalb kurzer Zeit bereits unzählige E-Mail-Posteingänge rund um den Globus verstopft hat.

"Netsky-D ist der sechste große Wurm, der uns seit Freitag in Atem hält, aber bei weitem der Gefährlichste. Seine ersten Anzeichen deuten darauf hin, dass er einer der Schlimmsten für dieses Jahr werden kann, wenn sich Anwender nicht früh genug wappnen", meint Pino von Kienlin, Managing Director von Sophos Deutschland. "Netsky-D ist bis jetzt so erfolgreich, weil sich die User nur in seltensten Fällen darüber klar sind, dass auch PIF-Dateien virenverseucht sein können. Das Bewusstsein für das Gefahrenpotenzial von EXE-, SCR- und VBS-Dateien ist bei den Anwendern um ein Vielfaches höher."

Die mit dem Netsky-D Wurm infizierten E-Mails sind hauptsächlich an Betreffzeilen wie "Re: Approved", "Re: Details", "Re: Document", "Re: Your letter" sowie "Re: Your picture" zu erkennen und tragen E-Mail-Anhänge mit Dateinamen wie "all_document.pif", "application.pif", "document.pif", "your_letter.pif" und "your_product.pif".