Worm/Netsky.X

Internet Internet Sicherheit
#1

Moin, moin zusammen!

Beim Versuch in Thunderbird eine offensichtliche Müllmail ungelesen [!] zu löschen rebelliert AntiVir mit folgender Meldung:

„Die Datei Trash ist eine Mailbox und enthält Signatur des Wurmes Worm/Netsky.X.
Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!“

Gut und schön, aber wie bekomme ich das Ding denn dann wieder los?

Fragt sich

Hartmann.

#2

Hallo Hartmann,

„Die Datei Trash ist eine Mailbox und enthält Signatur des
Wurmes Worm/Netsky.X.
Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht
repariert oder gelöscht!“

Gut und schön, aber wie bekomme ich das Ding denn dann wieder
los?

Da es ja Trash ist und Trash sein soll, sogar „infizierter“ Trash, so lasse ihn doch ruhig von Thunderbird entsorgen oder durch Antivir bei klarerweise beendetem Thunderbird. Man koennte auch von Hand die Datei im Thunderbirdmailverzeichnis loeschen, im Prinzip. Am einfachsten ist es wahrscheinlich, wenn Du Deinem Donnervogel sagst, er solle den Trash entsorgen.

Viele Gruesse, Peter

#3

Hallo Peter

Da es ja Trash ist und Trash sein soll, sogar „infizierter“
Trash, so lasse ihn doch ruhig von Thunderbird entsorgen

Ja.

oder durch Antivir bei klarerweise beendetem Thunderbird.

NEIN! Never! Das klappt bei Thunderbird nicht. Denn der steckt alle Mails in eine einzige Datei. Darum kann ja das Antivirentool nichts machen. Wenn Du bei beendetem TB mit AV löschst, ist die ganze Mailbox weg. Entsprechende Hilfe-Gesuche finden sich in vielen Foren, Newsgroups etc…

CU
Peter

#4

Hi Peter!

Alles klar. Ich Depp hatte AntiVir mit geöffnetem Thunderbird laufen lassen. Konnte ja nix werden.
Hab’ jetzt sicherheitshalber noch

W32/NetSky Removal Tool 1.00.11 von f-secure
und
W32/Netsky FixTool 1.12.00 von Symantec

'runtergeladen und durchlaufen lassen.
Beide haben nix mehr gefunden.

Gruß, Hartmann.

#5

Hallo Hartmann,

auch zu Deinem anderen Post,

kann es sein, dass Thunderbird so eingestellt ist im Moment bei Dir, dass der Mailer den Trashordner automatisch leert, sobald Du den Mailer beendest. Du bekommst infektioesen Anhang, schiebst ihn in den Trash, Antivir bemerkt es. Du beendest TB, TB leert den Trash bei Beendung, anschliessend findet Dein Removaltool natuerlich keinen Netsky mehr.

Oder aber der Trash ist noch da, enthaelt noch den Wurm, aber das Removaltool sucht gerade nicht in der Trashdatei, sondern sucht nur nach einem bereits infizierten System. Das System an sich ist aber noch sauber, da Netsky nicht aus dem Anhang aufgerufen wurde.

Zwei Szenarien, die ich mir ausdenken konnte. Ueberpruefe doch bitte einmal, welches zutreffen koennte.

beste gruesse, peter

1 Like
#6

Hallo Hartmann

Alles klar. Ich Depp hatte AntiVir mit geöffnetem Thunderbird
laufen lassen. Konnte ja nix werden.
Hab’ jetzt sicherheitshalber noch

W32/NetSky Removal Tool 1.00.11 von f-secure
und
W32/Netsky FixTool 1.12.00 von Symantec

'runtergeladen und durchlaufen lassen.
Beide haben nix mehr gefunden.

Als erstes vergiss diese Removaltools, die können dir nur in den seltensten Fällen helfen, das hast du sicher schon gemerkt.

Kläre erst einmal, wie Netsky überhaupt auf deinen PC gelangen konnte. Ich verbiete meinem Clienten das automatische herunterladen von Anhängen. Ich kann entsprechend der Optionen meines Mozilla zwar den Text der Mail und dessen Absender lesen, jedoch erhalte ich vom Klient statt des Anhanges eine lakonische Mitteilung, das die Mail zu lang ist und mich selbst kümmern soll. Jetzt kann ich entscheiden, ob der Anhang überhaupt gebraucht wird oder ob er in der Box verbleiben kann. Dort richtet er nicht geringsten Schaden an und dein Provider wird ihn entsprechend der Optionen der Box irgend wann entsorgen.

Nun zu deinem Problem:
Als erstes solltest du mal kurz AntiVir abschalten. Danach öffnest du deinen TB und gehst darin im Accound-Menü in „Gelöschte Dateien“. Dort kannst du dir alle Dateien ansehen, welche du gelöscht hast. Sie sind also alle noch da und in einer Art Archiv untergebracht. Hast du jetzt die betroffene Mail gefunden, kannst du sie dort nochmal löschen und erst jetzt ist sie wirklich von deiner Festplatte verschwunden. Danach kannst du AntiVir wieder aktivieren.

Dein Glück an der Geschichte ist vermutlich, das du die im Anhang befindliche Datei noch nicht ausgeführt hast, ansonsten würde AntiVir und die Removaltools anders reagieren. Wenn du zukünftig eine Mail mit zweifehaften Inhalt erhältst, so gehe enfach mal nach http://virusscan.jotti.org/de/ oder http://www.virustotal.com und lass dir den Anhang scannen. Allerdings sollte man sich die Seiten vorher angesehen haben, damit man weiss, wie es funktioniert.

@all:
Insbesonders ist Jotti.org interessant, weil dort zusätzlich in einer Tabelle das Ergebnis des letzten Scan gezeigt wird und welche Scanner die Malware schon kannte. Momentan aktuell (21.04.05 12.28 Uhr) ist es der Trojaner W32/SDBot.H-tr , den nur 5 von 13 Scannern erkannten.
Also mal ein wenig Volksbelustigung:

> Scanner\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_Name der Malware  
> AntiVir\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_Worm/Mytob.BB.1  
> Avast\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_X  
> AVG Antivirus\_\_\_\_\_\_\_\_\_\_Worm/Kelvir.Q  
> BitDefender\_\_\_\_\_\_\_\_\_\_\_\_X  
> ClamAV\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_X  
> Dr.Web\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_Trojan.Cleaner  
> F-Prot Antivirus\_\_\_\_\_\_\_W32/Mytob.BZ@mm  
> Fortinet\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_W32/SDBot.H-tr  
> Kaspersky Anti-Virus\_\_\_X  
> mks\_vir\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_X  
> NOD32\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_X  
> Norman Virus Control\_\_\_X  
> VBA32\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_X

Selbst der oft hochgelobte und sonst alles erkennende Kaspersky konnte zum jetzigen Zeitpunkt noch nichts damit anfangen. Es ist wirklich so, ein Scanner kann nur reagieren, wenn er die Signatur kennt, also auch eine aktuelle Datenbank besitzt. Angebliche Heuristik ist nur ein Verkleistern der Augen. Die Namen der Malware spielen dabei eine untergeordnete Rolle, denn jeder Hersteller gibt beim ersten Auftreten einen anderen Namen.

der hinterwäldler

1 Like
#7

Hallo Peter,

NEIN! Never! Das klappt bei Thunderbird nicht. Denn der steckt
alle Mails in eine einzige Datei. Darum kann ja das
Antivirentool nichts machen. Wenn Du bei beendetem TB mit AV
löschst, ist die ganze Mailbox weg. Entsprechende
Hilfe-Gesuche finden sich in vielen Foren, Newsgroups etc…

Jein, naja deswegen riet ich ja, Thunderbird es tun zu lassen. Aber wenn die infizierte Datei im Trash steckt, wuerde AV doch offentlich nur den Trash loeschen, denn es ist nicht so, dass alle Mails in einer Datei landen, sondern „nur“ alle Mails eines Ordners landen in einer Datei. ann waere nur der Ordner Trash in diesem Fall weg und das kann man reparieren, sprich einen neuen Ordner anlegen. Wenn es die Inbox waere, waere eine Loeschung durch AV natuerlich fatal :wink:

Allerdings weiss ich nicht, ob meine Erfahrungen sich nur auf Linux-Systeme beziehen und TB unter WIndows tatsaechlich wirklich alle Mails in einem Ordner lagert.

danke fuer die warnung, ich haette selbst lauter warnen muessen, peter

#8

N’Abend lego!

Das erste war der Fall.

Danke und Gruß,

Hartmann.

#9

Hallo Hinterwäldler!

Habe alles so durchgeführt und seit geraumer Zeit keine entsprechenden Meldungen mehr.

Herzlichen Dank und Gruß,

Hartmann.