Langsamer Ausbruch: Postcard-Mails von der Storm-Worm-Gang
Die Spam-Welle falscher Grußkarten-Mails reißt nicht ab. Bereits seit vier Wochen fluten die Botnets der Storm-Worm-Gang weltweit die Mailboxen mit angeblichen Grußkarten, in denen Links zu Malware-Sites führen.
Einen so lange andauernden Malware-Ausbruch hat es schon seit längerer Zeit nicht mehr gegeben. Die Masche ist offenbar weiterhin erfolgreich, sonst hätten die Versender die Taktik längst gewechselt. Bereits seit Ende Juni versenden die fremdgesteuerten Zombie-Rechner aus den Botnets der "Sturm-Wurm-Bande" Mails mit einem Betreff wie "You've received a greeting postcard from a friend!", wobei das letzte Wort statt "friend" zum Beispiel auch "class-mate", "worshipper" oder "Neighbour" lauten kann. Um den 4. Juli herum nutzten sie vorübergehend den amerikanischen Unabhängigkeitstag als Aufhänger für die Mails.
Der englische Text fordert die Empfänger auf, einen Link anzuklicken oder diesen in den Browser zu kopieren. Der zeigt direkt und offensichtlich auf eine IP-Adresse. Das allein sollte die Empfänger an sich schon misstrauisch machen. Wer den Link aufruft, landet auf einer Seite, die mittels Javascript den Browser ermittelt und dann, wenn vorhanden, einen passenden Exploit zum Einschleusen von Malware anwendet.
Der eingeschleuste Schädling ist ein Downloader (ecard.exe), der weitere Malware nachlädt. Diese verwandelt den Rechner dann in einen so genannten Zombie, also in einen Teil eines Botnets, ein Netzwerk fremdgesteuerter PCs, die Spam versenden, Malware beherbergen und/oder DoS-Angriffe ausführen.
Die Programmierer der Sturm-Wurm-Bande entwickeln ihre Schädlinge ständig weiter. So kommen nicht nur in sehr kurzen Intervallen neue Varianten heraus, die die Erkennung durch Virenscanner vermeiden sollen. Inzwischen haben sie ihren Machwerken auch beigebracht, virtuelle Maschinen wie VMware oder Microsofts Virtual PC zu erkennen. Sie sollen den Virenforschern der Antivirus-Firmen die Arbeit erschweren, indem sie in solchen virtuellen Umgebungen nicht laufen.
Die meisten Antivirus-Hersteller haben sich zwar auf diese Malware eingestellt, einige haben jedoch noch immer Probleme damit. Bis Signatur-Updates erscheinen, die eine aktuelle Variante dieser Malware erkennen, sind längst neue Varianten im Umlauf.
Antivirus-Erkennung einer aktuellen Ecard-Variante:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Zhelatin.Gen |
| Avast! | Win32:Tibs-BCZ [Trj] |
| AVG | Downloader.Tibs.6.U |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.ICB |
| ClamAV | Trojan.Small-3255 |
| Command AV | --- |
| Dr Web | Trojan.Packed.142 |
| eSafe | Trojan/Worm [100] (suspicious) |
| eTrust | Win32/Sintun.AC |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Email-Worm.Win32.Zhelatin.ge |
| Fortinet | W32/PackTibs.A |
| Ikarus | Email-Worm.Win32.Zhelatin.ge |
| Kaspersky | Email-Worm.Win32.Zhelatin.ge |
| McAfee | --- (W32/Nuwar@MM)* |
| Microsoft | --- |
| Nod32 | --- |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Mal/Dorf-A |
| Spybot S&D | --- |
| Symantec | --- (Trojan.Packed.13)* |
| Trend Micro | WORM_NUWAR.MU |
| VBA32 | --- |
| VirusBuster | Trojan.Tibs.Gen!Pac.134 |
| WebWasher | Worm.Zhelatin.Gen |
| GData AVK 2007 ** | Email-Worm.Win32.Zhelatin.ge |
Quelle: AV-Test, Stand: 31.01.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
