66514

Weitere Sturm-Wurm-Mails zum Jahreswechsel

02.01.2008 | 16:18 Uhr |

Mit immer neuen Domains und ständig variierten Programmdateien hat die Storm-Gang auch über die Feiertage die Antivirus-Hersteller auf Trab gehalten. Die Sturm-Flut vorgeblicher Neujahrsgrüße hält weiter an.

Für Malware-Programmierer wie für Taxifahrer ist der Jahreswechsel keine Zeit der Besinnlichkeit sondern geschäftliche Hochsaison. Die Sturm-Wurm-Bande hat eine ganze Reihe von Domains registriert, auf die sie mit ihren Spam-Kampagnen verweist. Das Sturm-Botnet verbreitet auf der Suche nach neuen Opfern weiterhin massenhaft vorgebliche Neujahrgrüße.

Mit vielen unterschiedlichen Betreffzeilen von "A brand New Year" über "Happy 2008!" bis "Special New 2008 Year Wish" füllen Zweizeiler die Mailboxen weltweit. Die Links in den Mails verweisen stets auf eine von etwa einem Dutzend Domains, die für diesen Zweck registriert worden sind. Die Domain-Namen reichen von "familypostcards2008.com" bis "Santawishes2008.com". Jeder Aufruf einer solche Website führt zu einer anderen IP-Adresse und damit zu einem anderen Botnet-Rechner.

Wer einen solchen Link anklickt, findet auf der Web-Seite nur eine spärliche Textbotschaft: "Your download should begin shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run. Enjoy!". Beim Anklicken des Download-Links wird eine etwa 140 KB große Datei "happy_2008.exe" herunter geladen.

Wird diese geöffnet, installiert sie ein bereits etwas betagtes Rootkit und reiht den befallenen PC in die Zombie-Armee des Sturm-Botnets ein. Die zum Download angebotene EXE-Datei ist bei jedem Download geringfügig verändert, was die Erkennung durch Antivirus-Programme erschweren soll. Dies gelingt jedoch offenbar nur bedingt - etliche Virenscanner erkennen alle Varianten.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XDR.Gen

Avast!

Win32:Zhelatin-ASX [Wrm]

AVG

Dropper.Generic.TOL (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Agent.AGIU

ClamAV

Trojan.Peed-80

Command AV

---

Dr Web

Trojan.Spambot.2562

eSafe

---

eTrust

Win32/Sintun.AY

Ewido

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.qa

Fortinet

---

Ikarus

Email-Worm.Win32.Zhelatin.qa

Kaspersky

Email-Worm.Win32.Zhelatin.qa

McAfee

--- (W32/Nuwar@MM)*

Microsoft

Backdoor:Win32/Nuwar.gen!A

Nod32

Win32/Nuwar.BF worm

Norman

Tibs.BFZU

Panda

---

Panda (BETA)

W32/Nuwar.NL.worm

QuickHeal

---

Rising AV

ERROR

Sophos

Troj/Dorf-AO

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

Trojan.Peacomm.D

Trend Micro

---

VBA32

---

VirusBuster

Trojan.DR.DL.Tibs.JP

WebWasher

Trojan.Crypt.XDR.Gen

G-Data AVK **

Email-Worm.Win32.Zhelatin.qa

Quelle: AV-Test ( http://www.av-test.de ), Stand: 02.01.2008, 15:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
66514