Auch Wurm NetSky mutiert

Nachdem nun schon der Wurm MyDoom bis zur F-Variante mutiert ist, warnen die Hersteller von Antivirensoftware vor der C-Variante des NetSky-Wurms, auch bekannt als Moodown. Anders als noch im letzten Jahr geben die Hersteller mittlerweile fast täglich neue Warnungen vor Wurm-Ausbrüchen heraus. Allerdings ist trotzdem wohl nicht damit zu rechnen, dass der morgendliche Schädlingsbericht einen ähnlichen Stellenwert einnehmen wird wie der Wetterbericht.

Der Wurm verbreitet sich über eine eigene SMTP-Engine. Die Absenderadresse ist wie bei allen Mass-Mailing-Würmern stets gefälscht. Die Zieladressen zum Versand findet er in diversen Dateien auf dem System. Der Wurm versendet sich als Dateianhang der Mail. Die Dateinamen variieren dabei stark. Zusätzlich kopiert sich der Wurm mit interessant klingenden Dateinamen in lokale Verzeichnisse und Verzeichnisse von Netzlaufwerken, wenn deren Namen den String "shar" enthält, um sich über Tauschbörsen wie Kazaa und andere zu verbreiten.

Ein Schadroutine hat der Wurm nicht, am 26. Februar versucht er allerdings zwischen 6 und 8 Uhr morgens den PC-Lautsprecher zu Piepen zu bringen. Zur Entfernung des Wurms hat NAI sein kostenloses Tool Stinger aktualisiert.

Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch: (dab)

• Beschreibung NetSky.C vom BSI
• Beschreibung NetSky.C von Trend Micro
• Beschreibung NetSky.C von NAI
• Beschreibung NetSky.C von Symantec