Anmeldebestätigung: Neue Sturm-Wurm-Masche

Mittwoch den 22.08.2007 um 16:39 Uhr

von Frank Ziemann

Die so genannte Storm-Worm-Gang hat erneut ihre Taktik geändert. Die Spam-artig versandten Mails enthalten nunmehr angebliche Anmeldedaten für Community-Websites - die Links führen jedoch wie bisher zu Malware-Sites.
Erst kurz vor dem letzten Wochenende hatte die Sturm-Wurm-Bande ihre über mehrere Monate betriebene Masche vorgeblicher Grußkarten-Mails aufgegeben und sich neuen Themen zugewandt . Bereits gestern haben sie erneut das Thema gewechselt und versenden nunmehr vorgebliche Anmeldebestätigungen für Community-Sites. Die Mails enthalten fiktive Zugangsdaten und einen Link zu einem von vielen nur vorübergehend erreichbaren Web-Servern.

Die Links zeigen wie gehabt ganz offen auf eine IP-Adresse - ohne jeden Verschleierungsversuch. Die neue Masche mit den Login-Daten ist jedoch ebenso tückisch wie Erfolg versprechend. Auch misstrauischere Naturen werden die Gefahr nicht bereits beim Klick auf den Link vermuten. Wenn die Neugier siegt, etwa weil eine Website wie "Ringtone Heaven" oder "WebTunes" lockt, landet das Opfer auf einer Seite, die den verwendeten Browser ermittelt und sogleich passenden Exploit-Code lädt.

Wird der Browser als nicht angreifbar erkannt, lädt der Web-Server eine Seite, die zum Download eines "Secure Login Applet" auffordert. Anklicken des angebotenen Download-Links schaufelt eine Datei namens "applet.exe" auf die Festplatte, bei der es sich um Malware handelt.

So wird ein Schädling aus der Nuwar-/Zhelatin-Familie eingeschleust, der den PC in eine fremdgesteuerte Spam-Schleuder verwandelt. Er wird als so genannter Zombie Teil eines mittlerweile weit über eine Million Rechner umfassenden Botnets . Die in den Mails verlinkten Web-Server sind meist nur für wenige Stunden erreichbar. In dieser Zeit werden die EXE-Dateien im 30-Minuten-Takt automatisch neu gepackt, um die Erkennung durch Antivirus-Programme zu erschweren.

Erkennung durch Antivirus-Software:

Antivirus applet.exe
AntiVir WORM/Zhelatin.Gen
Avast! Win32:Zhelatin-ANZ [Wrm]
AVG Downloader.Tibs.7.D
Bitdefender DeepScan:Generic.Malware.FMPH@mmign.62BB3F6E
ClamAV Fathom
Command AV W32/Fathom.1-based!Maximus
Dr Web Trojan.Packed.142
eSafe Trojan/Worm [100]
eTrust Win32/Sintun.AC
Ewido ---
F-Prot W32/Fathom.1-based!Maximus
F-Secure ---
Fortinet W32/PackTibs.B
Ikarus ---
Kaspersky Email-Worm.Win32.Zhelatin.hc
McAfee --- (Tibs-Packed)*
Microsoft Trojan:Win32/Tibs.DU
Nod32 Win32/Nuwar.Gen
Norman ---
Panda ---
QuickHeal Suspicious
Rising AV ---
Sophos Mal/Dorf-E
Symantec Trojan.Packed.13
Trend Micro WORM_NUWAR.AQB
VBA32 MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster ---
WebWasher Worm.Zhelatin.Gen
A-Squared ---
Spybot S&D ---
GData AVK 2007 ** Email-Worm.Win32.Zhelatin.hc

Quelle: AV-Test , Stand: 22.08.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

Mittwoch den 22.08.2007 um 16:39 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
110210