Der Malware-Sturm hält an
Weitere Sturm-Wurm-Mails zum Jahreswechsel
Mit immer neuen Domains und ständig variierten Programmdateien hat die Storm-Gang auch über die Feiertage die Antivirus-Hersteller auf Trab gehalten. Die Sturm-Flut vorgeblicher Neujahrsgrüße hält weiter an.
Für Malware-Programmierer wie für Taxifahrer ist der Jahreswechsel keine Zeit der Besinnlichkeit sondern geschäftliche Hochsaison. Die Sturm-Wurm-Bande hat eine ganze Reihe von Domains registriert, auf die sie mit ihren Spam-Kampagnen verweist. Das Sturm-Botnet verbreitet auf der Suche nach neuen Opfern weiterhin massenhaft vorgebliche Neujahrgrüße.
Mit vielen unterschiedlichen Betreffzeilen von "A brand New Year" über "Happy 2008!" bis "Special New 2008 Year Wish" füllen Zweizeiler die Mailboxen weltweit. Die Links in den Mails verweisen stets auf eine von etwa einem Dutzend Domains, die für diesen Zweck registriert worden sind. Die Domain-Namen reichen von "familypostcards2008.com" bis "Santawishes2008.com". Jeder Aufruf einer solche Website führt zu einer anderen IP-Adresse und damit zu einem anderen Botnet-Rechner.
Wer einen solchen Link anklickt, findet auf der Web-Seite nur eine spärliche Textbotschaft: "Your download should begin shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run. Enjoy!". Beim Anklicken des Download-Links wird eine etwa 140 KB große Datei "happy_2008.exe" herunter geladen.
Wird diese geöffnet, installiert sie ein bereits etwas betagtes Rootkit und reiht den befallenen PC in die Zombie-Armee des Sturm-Botnets ein. Die zum Download angebotene EXE-Datei ist bei jedem Download geringfügig verändert, was die Erkennung durch Antivirus-Programme erschweren soll. Dies gelingt jedoch offenbar nur bedingt - etliche Virenscanner erkennen alle Varianten.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XDR.Gen |
| Avast! | Win32:Zhelatin-ASX [Wrm] |
| AVG | Dropper.Generic.TOL (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Agent.AGIU |
| ClamAV | Trojan.Peed-80 |
| Command AV | --- |
| Dr Web | Trojan.Spambot.2562 |
| eSafe | --- |
| eTrust | Win32/Sintun.AY |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Email-Worm.Win32.Zhelatin.qa |
| Fortinet | --- |
| Ikarus | Email-Worm.Win32.Zhelatin.qa |
| Kaspersky | Email-Worm.Win32.Zhelatin.qa |
| McAfee | --- (W32/Nuwar@MM)* |
| Microsoft | Backdoor:Win32/Nuwar.gen!A |
| Nod32 | Win32/Nuwar.BF worm |
| Norman | Tibs.BFZU |
| Panda | --- |
| Panda (BETA) | W32/Nuwar.NL.worm |
| QuickHeal | --- |
| Rising AV | ERROR |
| Sophos | Troj/Dorf-AO |
| Spybot S&D | Smitfraud-C.,,Executable |
| Sunbelt | --- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | Trojan.DR.DL.Tibs.JP |
| WebWasher | Trojan.Crypt.XDR.Gen |
| G-Data AVK ** | Email-Worm.Win32.Zhelatin.qa |
Quelle: AV-Test (http://www.av-test.de), Stand: 02.01.2008, 15:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
