TREND MICRO (NASDAQ: TMIC, TSE: 4704) warnt alle Computer-Anwender vor dem neuen WORM_NETSKY.C , der sich derzeit per Email weltweit verbreitet. Nach der Analyse von Virenreports aus den USA stufen die TrendLabs das Schadens- und Verbreitungspotenzial des Wurms als hoch ein. Gefährdet sind Computer mit den Betriebsystemen Windows 95, 98, ME, NT, 2000 und XP. AntiViren-Lösungen von TREND MICRO erkennen den Computerwurm ab Pattern-File 779 und Scan-Engine 5.600. Aktuelle Pattern-Files stehen auf www.trendmicro.de zum sofortigen Download bereit.
Informationen zu NETSKY.C
Der Speicher-residente Wurm verbreitet sich über SMTP (Simple Mail Transfer Protocol) und legt die Datei winlogon.exe im Systemverzeichnis (System32) von Windows ab und speichert Kopien von sich in verschiedenen freigegebenen Ordnern. Dabei werden folgende Dateinamen verwendet:
* 1000 Sex and more.rtf.exe
* 3D Studio Max 3dsmax.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Adobe Premiere 9.exe
* Ahead Nero 7.exe
* Best Matrix Screensaver.scr
* Clone DVD 5.exe
* Cracks & Warez Archive.exe
* Dark Angels.pif
* Dictionary English - France.doc.exe
* DivX 7.0 final.exe
* Doom 3 Beta.exe
* E-Book Archive.rtf.exe
* Full album.mp3.pif
* Gimp 1.5 Full with Key.exe
* How to hack.doc.exe
* IE58.1 full setup.exe
* Keygen 4 all appz.exe
* Learn Programming.doc.exe
* Lightwave SE Update.exe
* Magix Video Deluxe 4.exe
* Microsoft Office 2003 Crack.exe
* Microsoft WinXP Crack.exe
* MS Service Pack 5.exe
* Norton Antivirus 2004.exe
* Opera.exe
* Partitionsmagic 9.0.exe
* Porno Screensaver.scr
* RFC Basics Full Edition.doc.exe
* Screensaver.scr 26KB
* Serials.txt.exe 26KB
* Smashing the stack.rtf.exe
* Star Office 8.exe
* Teen Porn 16.jpg.pif
* The Sims 3 crack.exe
* Ulead Keygen.exe
* Virii Sourcecode.scr
* Visual Studio Net Crack.exe
* Win Longhorn Beta.exe
* WinAmp 12 full.exe
* Windows Sourcecode.doc.exe
* WinXP eBook.doc.exe
* XXX hardcore pic.jpg.exe
Die Malware speichert darüber hinaus unter dem Namen "Winlogon.exe" eine Kopie von sich selbst im Windows-Ordner. Um die automatische Ausführung bei jedem Systemstart zu erreichen, wird folgender Registry-Eintrag gemacht:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
ICQ Net = "%Windows%\winlogon.exe -stealth"
Zur Registrierung der DLL-Komponente der Malware löscht der Wurm zudem folgenden Registry-Eintrag:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
00AA005127ED}\InProcServer32
"%System%\WEBCHECK.DLL"
Identifikation der Malware
Zur Entfernung der Malware müssen zunächst alle Programmkomponenten identifiziert werden:
1. Scannen Sie Ihr System mit einer AntiViren-Lösung von TREND MICRO.
2. Notieren Sie alle Dateien, die als WORM_NETSKY.C erkannt werden.
TREND MICRO Kunden sollten vor dem Scan-Vorgang das neueste Pattern-File für ihre AntiViren-Lösung herunterladen. Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/... ein kostenlosen Online-Scanner für alle Computernutzer.
Terminierung der Malware-Prozesse
Mit dem unten beschriebenen Verfahren werden alle Malware-Prozesse im Speicher beendet. Zur Durchführung werden die Namen der als WORM_NETSKY.C erkannten Dateien benötigt.
1. Öffnen Sie den Windows Task Manager. Auf Windows 95/98/ME Systemen drücken Sie hierfür CTRL+ALT+ENTF. Auf Systemen mit Windows NT/2000/XP drücken Sie CTRL+SHIFT+ESC und klicken dann auf den Reiter "Prozesse".
2. In der Liste laufender Prozesse suchen Sie die Malware-Dateien bzw. die im Vorfeld identifizierten Dateien.
3. Wählen Sie eine der erkannten Dateien aus und klicken Sie auf "Task beenden" oder "Prozess beenden", je nach eingesetzter Windows-Version.
4. Wiederholen Sie diesen Vorgang für alle Malware-Prozesse in der Liste.
5. Um zu überprüfen, ob der Malware-Prozesse wirklich beendet wurde, schließen Sie den Task Manager und öffnen ihn danach erneut.
6. Schließen Sie den Task Manager
Auf Systemen mit Windows 95/98/ME zeigt der Task Manager unter Umständen bestimmte Prozesse nicht an. In diesem Fall kann ein Prozess-Viewer von einem Drittanbieter (Sysinternals) eingesetzt werden, um die Malware-Prozesse zu beenden.
Entfernung der Autostart-Einträge aus der Registry
Die Entfernung der Autostart-Einträge aus der Registry verhindert, dass die Malware während des Startvorgangs ausgeführt wird.
1. Öffnen Sie den Registry Editor. Klicken Sie hierfür auf "Start" und danach auf "Ausführen". Tragen Sie "Regedit" in das Feld ein und drücken Sie Enter.
2. Im linken Fenster doppelklicken Sie auf: HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. Suchen und entfernen Sie im rechten Fenster den Eintrag: ICQ Net = "%Windows%\winlogon.exe -stealth". Bitte beachten Sie, dass %Windows% für den Windows-Ordner steht, der sich normalerweise unter C:\\Windows oder C:\\WinNT befindet.
4. Doppelklicken Sie im linken Fenster auf: HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}>InProcServer32
5. Suchen und entfernen Sie im rechten Fenster den Eintrag: InProcServer32
6. Doppelklicken Sie im rechten Fenster auf den Standardeintrag und setzen Sie ihn auf: %System%\WEBCHECK.DLL. Bitte beachten Sie, dass %System% für den Windows System-Ordner steht, der sich normalerweise auf Computern mit Windows 95/98/ME unter C:\\Windows\System befindet. Auf Computern mit Windows 2000/NT lautet der übliche Pfad C:\\WINNT\System32 und bei Windows XP steht der Ordner unter C:\\Windows\System32.
7. Schließen Sie den Registry Editor
Zusätzliche Entfernungsanleitung für Computer mit Windows ME/XP
Windows Millenium Edition (ME) und Windows XP verfügen über Funktionen zur Systemwiederherstellung (System Restore), durch die Backups von bestimmten Dateien im _Restore-Ordner angelegt werden. System Restore sichert Dateien mit den Erweiterungen EXE und COM, unter denen sich auch infizierte Dateien oder Malware-Programme befinden können. Die Dateien im _Restore-Ordner sind geschützt und nur über System Restore zugänglich. Die Funktion muss daher deaktiviert werden, damit AntiViren-Lösungen von TREND MICRO auf die Dateien zugreifen können. Anhand der folgenden Anleitung kann System Restore ausgeschaltet werden:
Windows ME
1. Klicken Sie mit der rechten Maustaste auf das "Arbeitsplatz"-Symbol auf dem Desktop. Im Menü wählen Sie den Punkt "Eigenschaften".
2. Klicken Sie auf die Registerkarte "Leistungsmerkmale"
3. Klicken Sie auf die Schaltfläche "Dateisystem"
4. Klicken Sie auf die Registerkarte "Problembehandlung"
5. Markieren sie die Option "Systemwiederherstellung deaktivieren"
6. Klicken Sie auf "Übernehmen" und zweimal auf "Schließen"
7. Nach Aufforderungen den Computer neu starten
8. Halten Sie F8 gedrückt, während der Computer startet
9. Wählen Sie "Abgesicherter Modus" und drücken Sie Enter-Taste
10. Nachdem das System gestartet ist, fahren Sie mit Scan-Vorgang fort. Dateien im _Restore-Ordner können nun gelöscht werden.
11. Aktivieren Sie System Restore wieder, indem Sie die Markierung vor der Option "Systemwiederherstellung deaktivieren" entfernen. Führen Sie danach einen normalen Neustart durch.
Windows XP
1. Log-on als Administrator
2. Klicken Sie mit der rechten Maustaste auf das "Arbeitsplatz"-Symbol auf dem Desktop. Im Menü wählen Sie den Punkt "Eigenschaften".
3. Klicken Sie auf die Registerkarte "Systemwiederherstellung"
4. Markieren Sie die Option "Systemwiederherstellung ausschalten"
5. Klicken Sie auf "Übernehmen", "Ja" und "OK"
6. Setzen Sie den Scan-Vorgang fort. Dateien im _Restore-Ordner können nun gelöscht werden.
Aktivieren Sie System Restore wieder, indem Sie die Option "Systemwiederherstellung ausschalten" deaktivieren.
Die TrendLabs arbeiten derzeit an einer detaillierten Analyse von NETSKY.C. Weitere Informationen veröffentlicht TREND MICRO in Kürze.
Informationen zu NETSKY.C
Der Speicher-residente Wurm verbreitet sich über SMTP (Simple Mail Transfer Protocol) und legt die Datei winlogon.exe im Systemverzeichnis (System32) von Windows ab und speichert Kopien von sich in verschiedenen freigegebenen Ordnern. Dabei werden folgende Dateinamen verwendet:
* 1000 Sex and more.rtf.exe
* 3D Studio Max 3dsmax.exe
* ACDSee 9.exe
* Adobe Photoshop 9 full.exe
* Adobe Premiere 9.exe
* Ahead Nero 7.exe
* Best Matrix Screensaver.scr
* Clone DVD 5.exe
* Cracks & Warez Archive.exe
* Dark Angels.pif
* Dictionary English - France.doc.exe
* DivX 7.0 final.exe
* Doom 3 Beta.exe
* E-Book Archive.rtf.exe
* Full album.mp3.pif
* Gimp 1.5 Full with Key.exe
* How to hack.doc.exe
* IE58.1 full setup.exe
* Keygen 4 all appz.exe
* Learn Programming.doc.exe
* Lightwave SE Update.exe
* Magix Video Deluxe 4.exe
* Microsoft Office 2003 Crack.exe
* Microsoft WinXP Crack.exe
* MS Service Pack 5.exe
* Norton Antivirus 2004.exe
* Opera.exe
* Partitionsmagic 9.0.exe
* Porno Screensaver.scr
* RFC Basics Full Edition.doc.exe
* Screensaver.scr 26KB
* Serials.txt.exe 26KB
* Smashing the stack.rtf.exe
* Star Office 8.exe
* Teen Porn 16.jpg.pif
* The Sims 3 crack.exe
* Ulead Keygen.exe
* Virii Sourcecode.scr
* Visual Studio Net Crack.exe
* Win Longhorn Beta.exe
* WinAmp 12 full.exe
* Windows Sourcecode.doc.exe
* WinXP eBook.doc.exe
* XXX hardcore pic.jpg.exe
Die Malware speichert darüber hinaus unter dem Namen "Winlogon.exe" eine Kopie von sich selbst im Windows-Ordner. Um die automatische Ausführung bei jedem Systemstart zu erreichen, wird folgender Registry-Eintrag gemacht:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
ICQ Net = "%Windows%\winlogon.exe -stealth"
Zur Registrierung der DLL-Komponente der Malware löscht der Wurm zudem folgenden Registry-Eintrag:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-
00AA005127ED}\InProcServer32
"%System%\WEBCHECK.DLL"
Identifikation der Malware
Zur Entfernung der Malware müssen zunächst alle Programmkomponenten identifiziert werden:
1. Scannen Sie Ihr System mit einer AntiViren-Lösung von TREND MICRO.
2. Notieren Sie alle Dateien, die als WORM_NETSKY.C erkannt werden.
TREND MICRO Kunden sollten vor dem Scan-Vorgang das neueste Pattern-File für ihre AntiViren-Lösung herunterladen. Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/... ein kostenlosen Online-Scanner für alle Computernutzer.
Terminierung der Malware-Prozesse
Mit dem unten beschriebenen Verfahren werden alle Malware-Prozesse im Speicher beendet. Zur Durchführung werden die Namen der als WORM_NETSKY.C erkannten Dateien benötigt.
1. Öffnen Sie den Windows Task Manager. Auf Windows 95/98/ME Systemen drücken Sie hierfür CTRL+ALT+ENTF. Auf Systemen mit Windows NT/2000/XP drücken Sie CTRL+SHIFT+ESC und klicken dann auf den Reiter "Prozesse".
2. In der Liste laufender Prozesse suchen Sie die Malware-Dateien bzw. die im Vorfeld identifizierten Dateien.
3. Wählen Sie eine der erkannten Dateien aus und klicken Sie auf "Task beenden" oder "Prozess beenden", je nach eingesetzter Windows-Version.
4. Wiederholen Sie diesen Vorgang für alle Malware-Prozesse in der Liste.
5. Um zu überprüfen, ob der Malware-Prozesse wirklich beendet wurde, schließen Sie den Task Manager und öffnen ihn danach erneut.
6. Schließen Sie den Task Manager
Auf Systemen mit Windows 95/98/ME zeigt der Task Manager unter Umständen bestimmte Prozesse nicht an. In diesem Fall kann ein Prozess-Viewer von einem Drittanbieter (Sysinternals) eingesetzt werden, um die Malware-Prozesse zu beenden.
Entfernung der Autostart-Einträge aus der Registry
Die Entfernung der Autostart-Einträge aus der Registry verhindert, dass die Malware während des Startvorgangs ausgeführt wird.
1. Öffnen Sie den Registry Editor. Klicken Sie hierfür auf "Start" und danach auf "Ausführen". Tragen Sie "Regedit" in das Feld ein und drücken Sie Enter.
2. Im linken Fenster doppelklicken Sie auf: HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
3. Suchen und entfernen Sie im rechten Fenster den Eintrag: ICQ Net = "%Windows%\winlogon.exe -stealth". Bitte beachten Sie, dass %Windows% für den Windows-Ordner steht, der sich normalerweise unter C:\\Windows oder C:\\WinNT befindet.
4. Doppelklicken Sie im linken Fenster auf: HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}>InProcServer32
5. Suchen und entfernen Sie im rechten Fenster den Eintrag: InProcServer32
6. Doppelklicken Sie im rechten Fenster auf den Standardeintrag und setzen Sie ihn auf: %System%\WEBCHECK.DLL. Bitte beachten Sie, dass %System% für den Windows System-Ordner steht, der sich normalerweise auf Computern mit Windows 95/98/ME unter C:\\Windows\System befindet. Auf Computern mit Windows 2000/NT lautet der übliche Pfad C:\\WINNT\System32 und bei Windows XP steht der Ordner unter C:\\Windows\System32.
7. Schließen Sie den Registry Editor
Zusätzliche Entfernungsanleitung für Computer mit Windows ME/XP
Windows Millenium Edition (ME) und Windows XP verfügen über Funktionen zur Systemwiederherstellung (System Restore), durch die Backups von bestimmten Dateien im _Restore-Ordner angelegt werden. System Restore sichert Dateien mit den Erweiterungen EXE und COM, unter denen sich auch infizierte Dateien oder Malware-Programme befinden können. Die Dateien im _Restore-Ordner sind geschützt und nur über System Restore zugänglich. Die Funktion muss daher deaktiviert werden, damit AntiViren-Lösungen von TREND MICRO auf die Dateien zugreifen können. Anhand der folgenden Anleitung kann System Restore ausgeschaltet werden:
Windows ME
1. Klicken Sie mit der rechten Maustaste auf das "Arbeitsplatz"-Symbol auf dem Desktop. Im Menü wählen Sie den Punkt "Eigenschaften".
2. Klicken Sie auf die Registerkarte "Leistungsmerkmale"
3. Klicken Sie auf die Schaltfläche "Dateisystem"
4. Klicken Sie auf die Registerkarte "Problembehandlung"
5. Markieren sie die Option "Systemwiederherstellung deaktivieren"
6. Klicken Sie auf "Übernehmen" und zweimal auf "Schließen"
7. Nach Aufforderungen den Computer neu starten
8. Halten Sie F8 gedrückt, während der Computer startet
9. Wählen Sie "Abgesicherter Modus" und drücken Sie Enter-Taste
10. Nachdem das System gestartet ist, fahren Sie mit Scan-Vorgang fort. Dateien im _Restore-Ordner können nun gelöscht werden.
11. Aktivieren Sie System Restore wieder, indem Sie die Markierung vor der Option "Systemwiederherstellung deaktivieren" entfernen. Führen Sie danach einen normalen Neustart durch.
Windows XP
1. Log-on als Administrator
2. Klicken Sie mit der rechten Maustaste auf das "Arbeitsplatz"-Symbol auf dem Desktop. Im Menü wählen Sie den Punkt "Eigenschaften".
3. Klicken Sie auf die Registerkarte "Systemwiederherstellung"
4. Markieren Sie die Option "Systemwiederherstellung ausschalten"
5. Klicken Sie auf "Übernehmen", "Ja" und "OK"
6. Setzen Sie den Scan-Vorgang fort. Dateien im _Restore-Ordner können nun gelöscht werden.
Aktivieren Sie System Restore wieder, indem Sie die Option "Systemwiederherstellung ausschalten" deaktivieren.
Die TrendLabs arbeiten derzeit an einer detaillierten Analyse von NETSKY.C. Weitere Informationen veröffentlicht TREND MICRO in Kürze.
