|
Hallo zusammen, Netsky_P ist zwar schon ein 'alter Hut', aber etwas ist mir heute doch aufgefallen, was ich bisher in keiner Beschreibung gefunden habe. Wenn Netsky_P bei uns in einem der Postfächer aufschlägt, 'personalisiert' er in einigen Fällen den Namen der angehangenen ZIP-Datei. Geht beispielsweise eine Mail an max.mustermann@firma.tld dann heißt der Anhang z. B. message_max.mustermann.zip, websitliste01_max.mustermann.zip, details_max.mustermann.zip oder signature_max.mustermann.zip Gibt es bei Euch ähnliche Erfahrungen? Gruß, Lutz |
Habe gerade wieder 50 Eumel gelöscht, beim nächsten Durchlauf schaue ich mal nach |
Hallo Lutz, ja das ist mir auch aufgefallen. Eine Frage meiner seits: Wenn ich mir den Email-Header anschaue und die darin enthaltene IP zurückverfolge via whois-abfrage dann müsste ich doch den versender ausfindig machen können. greetz Blackdog |
Kleine Info: W32.Netsky.P@mm (auch bekannt als W32.Netsky.Q@mm) ist ein Massen-Mail-Wurm, der eine eigene SMTP-Engine verwendet, um sich selbst an E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten und zugeordneten Laufwerke findet. Der Wurm versucht außerdem, sich über verschiedene Dateifreigabeprogramme (auch "Filesharing-Programme") zu verbreiten, indem er sich selbst in verschiedene freigegebene Ordner kopiert. Die Absenderadresse der E-Mail ist gefälscht und Betreff und Nachrichtentext der E-Mail variieren. Der Name des Anhangs variiert und hat die Dateierweiterung .exe, .pif, .scr oder .zip. Der Wurm nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, so dass er auf Systemen ohne Patch beim einfachen Lesen einer infizierten E-Mail oder beim Anzeigen einer Vorschau automatisch ausgeführt wird. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board