44922

Sturm-Wurm geht wieder auf Brautschau

03.06.2008 | 15:53 Uhr |

Die Sturm-Wurm-Bande verbreitet einmal mehr vorgebliche Liebesbotschaften per Mail, um potenzielle Opfer auf ihre neu gestaltete Website zu locken. Diese residiert auf den bereits gekaperten PCs bisheriger Opfer.

Offenbar sind die Spam-Kampagnen mit falschen Liebesbriefen nach wie vor die erfolgreichste Masche der Sturm-Wurm-Bande. Zwischen Experimenten mit anderen Methoden kehren sie immer wieder zu diesem Schema zurück. Die Mails der aktuellen Kampagne kommen mit einem Betreff wie zum Beispiel "Can't stay away from you", "madly in love" oder auch "Wanna hug you". Der wie üblich sehr kurze Mail-Text besteht nur aus einer knappen Zeile, beispielsweise "You are my world", "Fallen for you" oder "crazy in love with you", jeweils gefolgt von einem Link auf eine IP-Adresse.

Die verwendeten IP-Adressen gehören zu bereits gekaperten Windows-Rechnern, auf denen ein Mini-Web-Server läuft. Die meisten dieser Rechner sind unter der verknüpften IP-Adresse nur für einige Stunden erreichbar, denn es sind oft Privat-PCs. Sie liefern beim Anklicken des Links eine HTML-Seite aus, die ein Bild enthält so wie den Text "Who is loving you? Do you want to know?". Es folgt eine Aufforderung zum Anklicken eines Download-Links.

Dieser zeigt auf eine Datei namens "loveyou.exe" (140 KB). Das ist die Sturm-Malware, die den Rechner in das Botnet einreiht und zu einer fremdgesteuerten Spam-Schleuder oder eben einem Web-Server zur Verbreitung der Malware macht.

Die Erkennung der aktuellen Sturm-Malware ist seit gestern Abend, als nur Bitdefender den Schädling erkannte, deutlich besser geworden. Es klaffen jedoch weiterhin große Lücken, die sich langsam schließen.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.za

Avast!

---

AVG

SHeur.BOBR (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Peed.PJ

CA-AV

Win32/Sintun.EZ

ClamAV

---

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.zt

Fortinet

---

G-Data AVK

Email-Worm.Win32.Zhelatin.zt

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.zt

McAfee

--- (W32/Nuwar@mm)*

Microsoft

---

Nod32

Win32/Nuwar.CU worm (variant)

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Mal/Dorf-N

Spybot S&D

---

Sunbelt

---

Symantec

--- (Trojan.Peacomm.D)*

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Worm.Zhelatin.za

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 03.06.2008, 14.30 Uhr

0 Kommentare zu diesem Artikel
44922