Hallo zusammen,

Netsky_P ist zwar schon ein 'alter Hut', aber etwas ist mir heute doch aufgefallen, was ich bisher in keiner Beschreibung gefunden habe.

Wenn Netsky_P bei uns in einem der Postfächer aufschlägt, 'personalisiert' er in einigen Fällen den Namen der angehangenen ZIP-Datei.
Geht beispielsweise eine Mail an max.mustermann@firma.tld dann heißt der Anhang z. B.
message_max.mustermann.zip,
websitliste01_max.mustermann.zip,
details_max.mustermann.zip oder
signature_max.mustermann.zip

Gibt es bei Euch ähnliche Erfahrungen?

Gruß,
Lutz

Habe gerade wieder 50 Eumel gelöscht, beim nächsten Durchlauf schaue ich mal nach

Hallo Lutz,

ja das ist mir auch aufgefallen.

Eine Frage meiner seits:

Wenn ich mir den Email-Header anschaue und die darin enthaltene IP zurückverfolge via whois-abfrage dann müsste ich doch den versender ausfindig machen können.

greetz
Blackdog

Kleine Info:
W32.Netsky.P@mm (auch bekannt als W32.Netsky.Q@mm) ist ein Massen-Mail-Wurm, der eine eigene SMTP-Engine verwendet, um sich selbst an E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten und zugeordneten Laufwerke findet. Der Wurm versucht außerdem, sich über verschiedene Dateifreigabeprogramme (auch "Filesharing-Programme") zu verbreiten, indem er sich selbst in verschiedene freigegebene Ordner kopiert.

Die Absenderadresse der E-Mail ist gefälscht und Betreff und Nachrichtentext der E-Mail variieren. Der Name des Anhangs variiert und hat die Dateierweiterung .exe, .pif, .scr oder .zip.

Der Wurm nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, so dass er auf Systemen ohne Patch beim einfachen Lesen einer infizierten E-Mail oder beim Anzeigen einer Vorschau automatisch ausgeführt wird.