Anmeldebestätigung: Neue Sturm-Wurm-Masche

Mittwoch, 22.08.2007 | 16:39 von Frank Ziemann
Die so genannte Storm-Worm-Gang hat erneut ihre Taktik geändert. Die Spam-artig versandten Mails enthalten nunmehr angebliche Anmeldedaten für Community-Websites - die Links führen jedoch wie bisher zu Malware-Sites.

Erst kurz vor dem letzten Wochenende hatte die Sturm-Wurm-Bande ihre über mehrere Monate betriebene Masche vorgeblicher Grußkarten-Mails aufgegeben und sich neuen Themen zugewandt . Bereits gestern haben sie erneut das Thema gewechselt und versenden nunmehr vorgebliche Anmeldebestätigungen für Community-Sites. Die Mails enthalten fiktive Zugangsdaten und einen Link zu einem von vielen nur vorübergehend erreichbaren Web-Servern.

Die Links zeigen wie gehabt ganz offen auf eine IP-Adresse - ohne jeden Verschleierungsversuch. Die neue Masche mit den Login-Daten ist jedoch ebenso tückisch wie Erfolg versprechend. Auch misstrauischere Naturen werden die Gefahr nicht bereits beim Klick auf den Link vermuten. Wenn die Neugier siegt, etwa weil eine Website wie "Ringtone Heaven" oder "WebTunes" lockt, landet das Opfer auf einer Seite, die den verwendeten Browser ermittelt und sogleich passenden Exploit-Code lädt.

Wird der Browser als nicht angreifbar erkannt, lädt der Web-Server eine Seite, die zum Download eines "Secure Login Applet" auffordert. Anklicken des angebotenen Download-Links schaufelt eine Datei namens "applet.exe" auf die Festplatte, bei der es sich um Malware handelt.

So wird ein Schädling aus der Nuwar-/Zhelatin-Familie eingeschleust, der den PC in eine fremdgesteuerte Spam-Schleuder verwandelt. Er wird als so genannter Zombie Teil eines mittlerweile weit über eine Million Rechner umfassenden Botnets . Die in den Mails verlinkten Web-Server sind meist nur für wenige Stunden erreichbar. In dieser Zeit werden die EXE-Dateien im 30-Minuten-Takt automatisch neu gepackt, um die Erkennung durch Antivirus-Programme zu erschweren.

Erkennung durch Antivirus-Software:

Antivirus
applet.exe
AntiVir
WORM/Zhelatin.Gen
Avast!
Win32:Zhelatin-ANZ [Wrm]
AVG
Downloader.Tibs.7.D
Bitdefender
DeepScan:Generic.Malware.FMPH@mmign.62BB3F6E
ClamAV
Fathom
Command AV
W32/Fathom.1-based!Maximus
Dr Web
Trojan.Packed.142
eSafe
Trojan/Worm [100]
eTrust
Win32/Sintun.AC
Ewido
---
F-Prot
W32/Fathom.1-based!Maximus
F-Secure
---
Fortinet
W32/PackTibs.B
Ikarus
---
Kaspersky
Email-Worm.Win32.Zhelatin.hc
McAfee
--- (Tibs-Packed)*
Microsoft
Trojan:Win32/Tibs.DU
Nod32
Win32/Nuwar.Gen
Norman
---
Panda
---
QuickHeal
Suspicious
Rising AV
---
Sophos
Mal/Dorf-E
Symantec
Trojan.Packed.13
Trend Micro
WORM_NUWAR.AQB
VBA32
MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster
---
WebWasher
Worm.Zhelatin.Gen
A-Squared
---
Spybot S&D
---
GData AVK 2007 **
Email-Worm.Win32.Zhelatin.hc

Quelle: AV-Test , Stand: 22.08.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

Mittwoch, 22.08.2007 | 16:39 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
110210