251047

Das Sturm-Botnet lebt und gedeiht

25.04.2008 | 15:47 Uhr |

Malware-Forscher von Sicherheitsunternehmen widersprechen Microsofts Anspruch, das Sturm-Botnet vernichtet zu haben. Vielmehr hätten die Botnet-Betreiber ihre kriminellen Geschäfte diversifiziert und machten munter weiter.

Microsofts Jimmy Kuo, Vordenker des Anti-Malware-Teams, hat für sein Unternehmen den Anspruch erhoben den so genannten Sturm-Wurm praktisch im Alleingang besiegt und die Betreiber des Sturm-Botnets zur Aufgabe gezwungen zu haben . Dem widersprechen Malware-Forscher anderer Unternehmen, etwa Paul Ferguson und vom Antivirus-Hersteller Trend Micro. Die Sturm-Wurm-Bande habe ihre Aktivitäten aufgeteilt, um der Aufmerksamkeit zu entgehen und expandiere weiter.

Jimmy Kuo hatte angegeben, Microsofts Malware Removal Tool (MRT) habe von September bis Dezember 2007 mehr als eine halbe Million Zombie-PCs des Sturm-Botnets desinfiziert. Die Sturm-Wurm-Bande habe daher schließlich aufgegeben. Ferguson gesteht Microsoft zwar zu einen gewissen Erfolg gegen das Sturm-Botnet erzielt zu haben, jedoch seien dessen Betreiber weit davon entfernt aufzugeben. Man habe erst in den letzten Tagen wieder Spam-Kampagnen der Sturm-Wurm-Bande beobachtet, die dem Ausbau ihres Botnets dienten.

Jamz Yaneza, der den Sturm-Wurm seit Anfang 2007 verfolgt, ergänzt, das Sturm-Botnet sei zwar aktuell kleiner als noch 2007, dies sei jedoch nicht nur auf Microsofts MRT zurück zu führen sondern eine bewusste Entscheidung der Botnet-Betreiber. Diese hätten ihre kriminellen Geschäfte diversifiziert, auf mehrere Botnets aufgeteilt, um der großen Aufmerksamkeit zu entgehen, die das Sturm-Botnet auf sich gezogen habe.

Im letzten Jahr sei das Sturm-Botnet ein riesiges Monster gewesen, meint Ferguson, das für vielerlei Zwecke, etwa Spam, DoS-Angriffe und Malware-Verbreitung, vermietet worden sei. Inzwischen habe die Gruppe die Taktik geändert, um das Aufmerksamkeitsradar zu unterfliegen. Einige der zurzeit aktivsten Botnets stünden in Verbindung zur Sturm-Wurm-Bande, so etwa "Kraken/Bobax", bei dem auch Mitglieder dieser Gruppe ihre Finger im Spiel hätten.

Es sei zwar letztlich zwar kaum möglich sicher fest zu stellen, wer hinter den einzelnen Botnets stecke - die vielen Ähnlichkeiten bei den Methoden lasse jedoch nur den Schluss zu, dass die Sturm-Wurm-Bande weiterhin recht aktiv sei. Auch Microsofts Jimmy Kuo hatte seine Ausführungen schon mit der Bemerkung eingeschränkt, die Sturm-Wurm-Bande habe vermutlich nur ihre Tätigkeit verlagert und sei weiterhin aktiv, verdiene nun womöglich mit einem anderen Botnet ihr Geld.

Erkennungsrate der aktuellen Sturm-Malware:

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.AQ

Avast!

Win32:Zhelatin-CTY [Wrm]

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

Trojan.Peed.PJ

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.431

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.xv

Fortinet

W32/PackTibs.N

G-Data AVK

Email-Worm.Win32.Zhelatin.xv

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.xv

McAfee

W32/Nuwar@mm

Microsoft

Backdoor:Win32/Nuwar.A

Nod32

---

Norman

Tibs.gen207

Panda

---

QuickHeal

Win32.Email-Worm.Zhelatin.xv.1

Rising AV

Worm.Mail.Win32.Zhelatin.wsx

Sophos

---

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

WORM_NUWAR.AK

VBA32

---

VirusBuster

---

WebWasher

Worm.Zhelatin.AQ

Quelle: AV-Test ( www.av-test.org ) ; Stand 25.04.2008, 15:30 Uhr

0 Kommentare zu diesem Artikel
251047