22544

Stürmische Wurmgrüße zum Valentinstag

27.01.2009 | 15:41 Uhr |

Der als Nachfahre des so genannten Sturm-Wurms gehandelte Waledac-Wurm reist weiter auf den eingefahrenen Gleisen seines Ahnen. Vorgebliche Grußkarten-Mails zum Valentinstag sollen potenzielle neue Opfer ködern.

Der Sturm-Wurm, der 2007 und in der ersten Hälfte von 2008 mit falschen Grußkarten-Mails auf die Jagd ging, ist seit letzten Sommer von der Bildfläche verschwunden. Seine Nachfolge tritt der Wurm "Waledac" an, der sich ähnlicher Methoden bedient. Verschiedene Malware-Forscher gehen inzwischen sogar davon aus, dass hinter Waledac dieselben Personen stecken. Valentinsgrüße kennen wir jedenfalls schon vom Sturm-Wurm und die von Waledac sind sehr ähnlich.

Waledac hatte sich zuletzt als Verbreiter falscher Nachrichten über Barack Obama betätigt und dessen Rückzieher vom Amt des US-Präsidenten verkündet. Nachdem Waledac auch schon zu Weihnachten mit falschen Grußkarten-Mails aktiv war, geht er nun mit vorgeblichen Valentinsgrüßen auf die Jagd nach neuen Opfern.

Die Mails kommen mit einem Betreff wie "I belong to you", "I give my heart to you", "Wanna kiss you", "You are the ONE" und ähnlichen Liebesschwüren. Im bekannten knappen Sturm-Wurm-Stil folgt im Mail-Text ein Einzeiler mit einem Link zu einer von mehreren Websites. Dort erwartet den Besucher ein Bild mit verschiedenen Herzmotiven sowie die Aufforderung "Guess, which one is for you?" ( Rate, welches für Dich ist ).

Das Bild ist mit dem Download einer EXE-Datei verknüpft, der beim Anklicken startet. Die wechselnden Dateinamen sind auch thematisch passend gewählt und reichen von "love.exe" über "meandyou.exe" und "onlyyou.exe" bis "you.exe". Es handelt sich in jedem Fall um eine knapp 400 KB große Kopie des Schädlings. Der setzt die Sicherheitseinstellungen des Internet Explorers herab, um den Rechner für weitere Angriffe zu öffnen, und breitet sich per Mail weiter aus.

Die Erkennung des Wurms durch aktuelle Antivirusprogramme ist noch recht lückenhaft.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.H

Avast!

---

AVG

Generic12.BDNL (Trojan horse)

Bitdefender

---

CA-AV

Win32/Waledac.T

ClamAV

---

Dr Web

---

Fortinet

W32/Waledac.A!tr

F-Prot

---

F-Secure

---

G-Data AVK 2008

Email-Worm.Win32.Iksmas.do

G-Data AVK 2009

---

Ikarus

Trojan.Win32.Waledac

K7 Computing

---

Kaspersky

Email-Worm.Win32.Iksmas.do

McAfee

--- (W32/Waledac.gen.c)*

McAfee Artemis

Generic!Artemis (virus or variant)

Microsoft

Trojan:Win32/Waledac.A

Nod32

Win32/Waledac.AC trojan

Norman

---

Panda

--- (W32/Waledac.D.worm)*

Panda (Online)

suspicious

QuickHeal

---

Rising AV

---

SecureWeb-GW

Worm.Zhelatin.H

Sophos

Mal/WaledPak-A

Spybot S&D

---

Sunbelt

---

Symantec

W32.Waledac

Trend Micro

--- (WORM_WALEDAC.AT)*

VBA32

---

VirusBuster

---

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 27.01.09, 14 Uhr

0 Kommentare zu diesem Artikel
22544