Netsky-Z hat weitere Webseiten im Visier

April 22, 2004 Sophos Press Release

Die Virenexperten von Sophos warnen vor der neuesten Variante des weit verbreiteten Netsky Wurms. Netsky-Z (W32/Netsky-Z) ist in der Lage, infizierte Computer als Ausgangsbasis für einen Angriff auf verschiedene Internetseiten zu nutzen.

Eine im Wurm versteckte Uhr zählt die Tage bis Anfang Mai und startet dann eine distributed Denial-of-Service-Attacke gegen drei Webseiten, die alle einen Bildungs-Bezug haben. Die betroffenen Seiten stammen aus der Schweiz, den USA und Deutschland. Dabei handelt es sich um folgende Adressen: www.educ.ch, www.medieninfo.ufl.edu und www.nibis.de. Die zwei Vorgänger des Wurms Netsky-X und Netsky-Y beinhalteten ebenfalls den Befehl zum Angriff auf diese Internetseiten. Allerdings waren sie so programmiert, dass sie ihre Attacken Ende April einstellten.

"Über den Grund der DoS-Angriffe auf die drei Webseiten kann man nur Vermutungen anstellen. Vielleicht hat der Virenautor einen Groll gegen sie", meint Gernot Hacker, Director of Technology bei Sophos. "Frühere Varianten von Netsky hatten Tauschbörsen wie KaZaA im Visier. Die unterschiedlichen Varianten der Netsky Familie haben die Virenlandschaft dieses Jahr dominiert, obwohl sich die Würmer teilweise stark ähnelten. Trotzdem werden immer noch viele Computeranwender von den Schadprogrammen überrascht. Wirklich jeder sollte sicherstellen, dass seine Antiviren-Software aktuell ist und daran denken, Dateianhänge mit Vorsicht zu behandeln - selbst solche, die über einen scheinbar harmlosen Betreff verfügen."

Netsky-Z verbreitet sich über E-Mails und verwendet die gleichen Betreffzeilen wie die Vorgängervarianten, wie zum Beispiel "Information", "Document" und "Important". Der Wurm selbst ist in einer zip-Datei versteckt, die wie folgt heißen kann: "Bill.zip", "Important.zip" und "Details.zip".

"Es scheint so, dass wir mit weiteren Versionen des Netsky Wurms rechnen müssen. Einige werden sich jetzt fragen, wie wir die zukünftigen Varianten benennen, nachdem wir nun am Ende des Alphabets angelangt sind. Die Anwort ist einfach, es geht wieder mit dem Anfang des Alphabets weiter, sprich die nächste Version würde Netsky-AA heißen", fährt Gernot Hacker fort.

Weitere Informationen über Netsky-Z finden Sie in der Virenanalyse.