110210

Anmeldebestätigung: Neue Sturm-Wurm-Masche

22.08.2007 | 16:39 Uhr |

Die so genannte Storm-Worm-Gang hat erneut ihre Taktik geändert. Die Spam-artig versandten Mails enthalten nunmehr angebliche Anmeldedaten für Community-Websites - die Links führen jedoch wie bisher zu Malware-Sites.

Erst kurz vor dem letzten Wochenende hatte die Sturm-Wurm-Bande ihre über mehrere Monate betriebene Masche vorgeblicher Grußkarten-Mails aufgegeben und sich neuen Themen zugewandt . Bereits gestern haben sie erneut das Thema gewechselt und versenden nunmehr vorgebliche Anmeldebestätigungen für Community-Sites. Die Mails enthalten fiktive Zugangsdaten und einen Link zu einem von vielen nur vorübergehend erreichbaren Web-Servern.

Die Links zeigen wie gehabt ganz offen auf eine IP-Adresse - ohne jeden Verschleierungsversuch. Die neue Masche mit den Login-Daten ist jedoch ebenso tückisch wie Erfolg versprechend. Auch misstrauischere Naturen werden die Gefahr nicht bereits beim Klick auf den Link vermuten. Wenn die Neugier siegt, etwa weil eine Website wie "Ringtone Heaven" oder "WebTunes" lockt, landet das Opfer auf einer Seite, die den verwendeten Browser ermittelt und sogleich passenden Exploit-Code lädt.

Wird der Browser als nicht angreifbar erkannt, lädt der Web-Server eine Seite, die zum Download eines "Secure Login Applet" auffordert. Anklicken des angebotenen Download-Links schaufelt eine Datei namens "applet.exe" auf die Festplatte, bei der es sich um Malware handelt.

So wird ein Schädling aus der Nuwar-/Zhelatin-Familie eingeschleust, der den PC in eine fremdgesteuerte Spam-Schleuder verwandelt. Er wird als so genannter Zombie Teil eines mittlerweile weit über eine Million Rechner umfassenden Botnets . Die in den Mails verlinkten Web-Server sind meist nur für wenige Stunden erreichbar. In dieser Zeit werden die EXE-Dateien im 30-Minuten-Takt automatisch neu gepackt, um die Erkennung durch Antivirus-Programme zu erschweren.

Erkennung durch Antivirus-Software:

Antivirus

applet.exe

AntiVir

WORM/Zhelatin.Gen

Avast!

Win32:Zhelatin-ANZ [Wrm]

AVG

Downloader.Tibs.7.D

Bitdefender

DeepScan:Generic.Malware.FMPH@mmign.62BB3F6E

ClamAV

Fathom

Command AV

W32/Fathom.1-based!Maximus

Dr Web

Trojan.Packed.142

eSafe

Trojan/Worm [100]

eTrust

Win32/Sintun.AC

Ewido

---

F-Prot

W32/Fathom.1-based!Maximus

F-Secure

---

Fortinet

W32/PackTibs.B

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.hc

McAfee

--- (Tibs-Packed)*

Microsoft

Trojan:Win32/Tibs.DU

Nod32

Win32/Nuwar.Gen

Norman

---

Panda

---

QuickHeal

Suspicious

Rising AV

---

Sophos

Mal/Dorf-E

Symantec

Trojan.Packed.13

Trend Micro

WORM_NUWAR.AQB

VBA32

MalwareScope.Worm.Nuwar-Glowa.1

VirusBuster

---

WebWasher

Worm.Zhelatin.Gen

A-Squared

---

Spybot S&D

---

GData AVK 2007 **

Email-Worm.Win32.Zhelatin.hc

Quelle: AV-Test , Stand: 22.08.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
110210