154342

Waledac-Malware mit Partnerprogramm

15.04.2009 | 16:11 Uhr |

Nicht nur der Conficker-Wurm bedient der Waledac-Malware, auch andere Schädlinge installieren Waledac und benutzen ihn zum Versenden vom Massen-Mails. Dahinter steckt ein Geschäftsmodell der Sturm-Bande.

Die Schädlinge der Waledac-Familie haben sich als Nachfolger des berüchtigten Sturm-Wurms (Alias: Nuwar, Zhelatin) einen Namen gemacht. In der IT-Sicherheitsbranche geht man davon aus, dass hinter beiden die gleichen Täter stecken, die so genannte Sturm-Bande. Sie verbreiten ihre Malware nicht nur selbst sondern vermieten sie auch an andere. Sie betreiben ein Partnerprogramm, wie man es in ähnlicher Form vor allem aus dem Bereich der Adware kennt.

Wie Scott Molenkamp im Blog des Microsoft Malware Protection Center berichtet, hat Microsoft die Waledac-Familie beim gestrigen Patch Day in die Gruppe der vom "Windows-Tool zum Entfernen bösartiger Software" ins Visier genommenen Schädlinge eingereiht. Die neue Version 2.9 des Anti-Malware-Tools wird über das automatische Windows Update verteilt und kann auch separat herunter geladen werden.

Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt zum Teil über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Websites geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu umgehen - mit Erfolg.

Die Macher von Waledac betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmaßlich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren, etwa bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail".

Scott Molenkamp nimmt dies zum Anlass einmal mehr darauf hinzuweisen, dass Internet-Nutzer nicht auf Links klicken sollten, die ihnen von Unbekannten geschickt werden. Diese Web-Seiten sind oft mit Browser-Exploits gespickt, also mit Script-Code, der Sicherheitslücken im Browser und in dessen Erweiterungen ausnutzen, um Malware einzuschleusen.

0 Kommentare zu diesem Artikel
154342