Die neueste Verision des NetSky-Virus gibt sich als "Fehlzustellungsmeldung einer eMail" (retourned Mail)
aus.
Der Virus nutzt eine Sicherheitslücke in älteren IE-Versionen (IE 5.x ohne SP2, inkl. Outlook Express)
zur Verbreitung aus.
Wenn der Virus ausgeführt wird versucht er eine Notpad-Fehlermeldung zu erzeugen.

Name:
W32/Netsky.q
Alias:
W32.Netsky.Q@mm, W32/Netsky-Q, Worm/NetSky.Q, I-Worm.NetSky.r, WORM_NETSKY.Q
In Umlauf seit:
28.03.2004
Typ:
EXE (Win32), Wurm (~28 KB)
Verbreitung:
E-Mail, P2P
nutzt Sicherheitslücke (MS01-020) in älteren IE-Versionen (IE 5.x ohne SP2, inkl. Outlook Express)
Siehe infolink: http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
Absenderangabe:
verschieden (gefälscht!)
Betreff/Subject:
verschieden, enthält E-Mail-Adresse des Empfängers, siehe Info-Links
z.B.: Mail Delivery failure; Mail Delivery System
Nachricht:
verschieden, siehe Info-Links
Betreff und Nachricht täuschen eine Fehlzustellung einer Mail vor
z.B.:Delivery Agent - Translation failed; Delivery Failure - Invalid mail specification
Anhang:
28,008 KB, Dateiname verschieden, bestehend aus:
1. "data" | "mail" | "msg" | "message" | "Note"
2. Zufallszahlen
3. Endung .eml, .pif, .scr oder .zip
z.B.: "msg3789.zip"
im Falle der EML-Endung kann eine angehängte Mail angezeigt werden, mit Anhang "message.pif"

Betroffene Betriebssysteme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
Symptome:
Existenz der Dateien SysMonXP.exe, firewalllogger.txt im Windows-Verzeichnis
sowie des Registry-Eintrags "SysMonXP = %Windir%\SysMonXP.exe"
im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden:
E-Mail-Versand, löscht div. Registry-Schlüssel und -Einträge
Gegenmittel:
Kostenlos bei Trend Micro
Info:
Computer Associates
Kaspersky
McAfee
Symantec