83234

Falsche Youtube-Links: Sturm-Wurm grüßt wieder

28.08.2007 | 16:16 Uhr |

Die Sturm-Wurm-Bande setzt inzwischen offenbar auf eine Doppelstrategie beim Mail-Versand. Es werden sowohl vorgebliche Grußkarten-Mails verschickt als auch Mails mit scheinbaren Links zu YouTube.

Am Ende der letzten Woche hatte es noch so ausgesehen, als hätten sich die Versender einfach wieder auf die über mehrere Monaten bewährte Masche mit vorgeblichen Grußkarten-Mails besonnen. In Spam-artig verbreiteten Mails werden seitdem wieder falsche Grüße versandt, die Links auf Malware-haltige Websites enthalten. Diese Mails kommen mit einem Betreff wie zum Beispiel "You Have An Ecard", "A card for you" oder "Here is Your Ecard".

Inzwischen haben die Mail-Versender komplett auf HTML-Mails umgestellt. Dadurch ist das Link-Ziel in einer Mail nicht mehr so offensichtlich. Erst bei genauerer Betrachtung stellt sich heraus, dass die Links wie gehabt auf IP-Adressen zeigen. Auch die neue Masche der Sturm-Wurm-Bande benutzt diese Methode, verwendet jedoch YouTube als Köder.

Die neueren Mails werden mit einem Betreff wie "Where did you take that?", "sheesh man, what are you thinkin", "HAHAHAHAHAHA, man your insane!" oder auch "ROTFLMAO, who is that your with?" verbreitet. Der Text weist auf ein angebliches YouTube-Video hin, das dem Mail-Empfänger wohl peinlich sein sollte. Der sichtbare Link-Text lautet dann zum Beispiel "http://www.youtube.com/watch?v=1jplyeLcK9B", tatsächlich jedoch zeigt der Link wieder einmal auf eine IP-Adresse.

Die verlinkten Websites liegen auf Zombie-PCs im Botnet der Sturm-Wurm-Bande und zeichnen sich durch eine recht kurze Lebensdauer aus. Wer dem Link folgt und die Seite im Internet Explorer öffnet, läuft Gefahr seinen Rechner mit Malware zu verseuchen. Automatische Scripte ermitteln den Browser und liefern passenden Exploit-Code, der Sicherheitslücken im Browser ausnutzt, um Malware aus der Familie Nuwar/Zhelatin einzuschleusen.

Wer mit einem Browser auf die Seite geht, für den kein geeigneter Exploit bereit liegt, wird zum manuellen Download der Malware aufgefordert, inzwischen mit dem Dateinamen "video.exe". Die Seite zeigt sogar ein YouTube-Logo, um die Glaubwürdigkeit des Köders zu erhöhen. Wie schon seit Monaten werden die derart mit Malware verseuchten Rechner als so genannte "Zombies" in das Botnet der Täter eingegliedert und zu einer fremdgesteuerten Spam-Schleuder umfunktioniert.

0 Kommentare zu diesem Artikel
83234