Die neueste Verision des NetSky-Virus gibt sich als "Fehlzustellungsmeldung einer eMail" (retourned Mail)
aus.
Der Virus nutzt eine Sicherheitslücke in älteren IE-Versionen (IE 5.x ohne SP2, inkl. Outlook Express)
zur Verbreitung aus.
Wenn der Virus ausgeführt wird versucht er eine Notpad-Fehlermeldung zu erzeugen.

Name:
W32/Netsky.q
Alias:
W32.Netsky.Q@mm, W32/Netsky-Q, Worm/NetSky.Q, I-Worm.NetSky.r, WORM_NETSKY.Q
In Umlauf seit:
28.03.2004
Typ:
EXE (Win32), Wurm (~28 KB)
Verbreitung:
E-Mail, P2P
nutzt Sicherheitslücke (MS01-020) in älteren IE-Versionen (IE 5.x ohne SP2, inkl. Outlook Express)
Siehe infolink: http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
Absenderangabe:
verschieden (gefälscht!)
Betreff/Subject:
verschieden, enthält E-Mail-Adresse des Empfängers, siehe Info-Links
z.B.: Mail Delivery failure; Mail Delivery System
Nachricht:
verschieden, siehe Info-Links
Betreff und Nachricht täuschen eine Fehlzustellung einer Mail vor
z.B.:Delivery Agent - Translation failed; Delivery Failure - Invalid mail specification
Anhang:
28,008 KB, Dateiname verschieden, bestehend aus:
1. "data" | "mail" | "msg" | "message" | "Note"
2. Zufallszahlen
3. Endung .eml, .pif, .scr oder .zip
z.B.: "msg3789.zip"
im Falle der EML-Endung kann eine angehängte Mail angezeigt werden, mit Anhang "message.pif"

Betroffene Betriebssysteme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
Symptome:
Existenz der Dateien SysMonXP.exe, firewalllogger.txt im Windows-Verzeichnis
sowie des Registry-Eintrags "SysMonXP = %Windir%\SysMonXP.exe"
im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden:
E-Mail-Versand, löscht div. Registry-Schlüssel und -Einträge
Gegenmittel:
Kostenlos bei Trend Micro
Info:
Computer Associates
Kaspersky
McAfee
Symantec

Der Virus verschickt sich als eMail ohne Betreff und ohne Text, somit nur den Anhang.
Wenn aktiviert startet der Virus das Spiel "Hearts" wenn es auf dem Rechner installiert ist.
Hier die Details:

Name:
W32/Bagle.u
Alias:
W32.Beagle.U@mm, W32/Bagle-U, I-Worm.Bagle.s, Worm/Bagle.U, WORM_BAGLE.U
In Umlauf seit:
26.03.2004
Typ:
EXE (Win32), Wurm
Verbreitung:
E-Mail
Absenderangabe:
unterschiedlich, gefälscht!
Betreff/Subject:
(leer)
Nachricht:
(leer)
Anhang:~8,208 KB, Dateiname: [zufällig], *.exe
Betroffene Betriebssysteme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
Symptome:
startet das Spiel "Hearts", wenn vorhanden
Existenz der Datei gigabit.exe im System[32]-Verzeichnis
sowie des Registry-Eintrags "gigabit.exe = %System%\gigabit.exe" im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden:
E-Mail-Versand, Backdoor (Port 4751)
Deaktivierung (Verfallsdatum):
01.01.2005
Gegenmittel:
Mir noch nicht bekannt

Info:
http://www.antivir.de/vireninfo/bagleu.htm Deutsch
http://www.sophos.de/virusinfo/analyses/w32bagleu.html Deutsch
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=38696
http://www.viruslist.com/eng/viruslist.html?id=1221356
http://vil.nai.com/vil/content/v_101141.htm
http://www.symantec.com/avcenter/venc/data/w32.beagle.u@mm.html
http://de.trendmicro-europe.com/enterprise/security_info/virus_encyclopedia.php?s=1&VName=WORM_BAGLE.U

Seit gestern hat sich auch der W.32.Sober wieder vermehrt:
W32.Sober.D sieht so aus:

-----Original Message-----
From: Patch@microsoft.at
To: xxx@ihredomain.at
Sent: Mon Mar 08 09:37:41 2004
Subject: Microsoft Alarm: Bitte Lesen!

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
Führende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu schützen!

+++ Š2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

Name: W32.Sober.D@mm
In Umlauf seit: 07.03.2004
Typ: Wurm
Betroffene Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Absenderangabe: eine der folgenden Möglichkeiten mit @microsoft.com
Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security

Zum Beispiel: Center@microsoft.com

Betreff/Subject:
Microsoft Alert: Please Read! Message-ID: <[zufällige Zeichen].qmail@microsoft.com>
Microsoft Alarm: Bitte Lesen! Message-ID: <[zufällige Zeichen].qmail@microsoft.com>

Zum Beispiel: Microsoft Alert: Please Read! Message-ID:

Nachricht:

Hier gibt es zwei verschiedene Varianten:

1) Einmal auf deutsch: (Siehe oben)

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
F?rende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu sch?zen!

+++ ©2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

2) Auf englisch:

New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.

+++ ©2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-1

Anhang:
Der Anhang setzt sich zusammen aus [Einer der Namen aus untenstehender Liste][zufällige Zeichen][.zip oder .exe]

Patch
MS-Security
MS-UD
UpDate
sys-patch
MS-Q

Zum Beispiel: UpDate43773.exe
Die Größe des Attachments beträgt: 33.0-33.1 KB

Info:
http://www.symantec.com/avcenter/venc/data/w32.sober.d@mm.html