Worm/Netsky.D

Allgemeine Infos (zusammengefasst):

Der Worm Netsky verbreitet sich über E-mails und kann auf folgenden Betriebssystem sein Unwesen treiben.

• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP

Er verfügt über eine eigene E-mail Engine, setzt die Sicherheitseinstellungen runter und nimmt Änderungen in der Registry vor.

Er erstellt eine Kopie von sich selbst:
%WINDIR%\winlogon.exe

Außerdem wird folgender Registry-Eintrag erstellt, damit der Worm beim Systemstart mitlädt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“ICQ Net”=%WINDIR%\winlogon.exe -stealth”

Außerdem löscht er folgende Registry keys:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• DELETE ME
• Explorer
• KasperskyAv
• msgsvr32
• Sentry
• service
• system.
• Taskmon
• Windows Services Host

– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• au.exe
• d3dupdate.exe
• Explorer
• KasperskyAv
• OLE
• Taskmon
• Windows Services Host

Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
• HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
• HKLM\System\CurrentControlSet\Services\WksPatch

Der Worm besitzt die Fähigkeit, folgende DNS Server zu kontaktieren:
145.253.2.171; 151.189.13.35; 193.141.40.42; 193.189.244.205;
193.193.144.12; 193.193.158.10; 194.25.2.129; 194.25.2.130;
194.25.2.131; 194.25.2.132; 194.25.2.133; 194.25.2.134;
195.185.185.195; 195.20.224.234; 212.185.252.136; 212.185.252.73;
212.185.253.70; 212.44.160.8; 212.7.128.162; 212.7.128.165;
213.191.74.19; 217.5.97.137; 62.155.255.16

Quelle:

Es gibt verschiedene Arten von Netsky.
zb. Worm.Netsky.P, jedoch sind sich die verschiedenen Arten sehr ähnlich, da sie zu einer “Familie” gehören.

Ausführliche Infos zu Netsky.P:

Entfernung:

Von verschiedenen AV Herstellern wurden Removal Tools bereitgestellt, teilweise mit Anleitung:

Symantec (mit Anleitung in Englisch)

Sophos

Bitdefender (Netsky.P)

F-secure

Avira

Zuerst den Scan mit einem oder zwei dieser Removal Tools machen.
Danach Malwarebytes installieren -> Updaten und einen Komplett Scan machen.
Danach A-squared free installieren -> Updaten und einen Detail Scan machen.

Alle Reporte und Logfiles sollte man dann in seinen eigenen Thread posten.