104990

Waledac-Kampagne zum 4. Juli

06.07.2009 | 15:14 Uhr |

Die Betreiber des Waledac-Botnet versuchen offenbar wieder ihre Basis zu verbreitern. Eine neue Mail-Kampagne benutzt den US-amerikanischen Unabhängigkeitstag als Köder, verheißt Videos vom Feuerwerk.

Nachdem es in den letzten Wochen um das Waledac-Botnet sehr ruhig war, haben dessen Betreiber am 3. Juli eine neue Spam-Kampagne gestartet. Wie schon der so genannte Sturm-Wurm vor einem Jahr nutzt dessen Nachfolger Waledac den Unabhängigkeitstag der USA am 4. Juli als Lockmittel. Die Mails versprechen ein Youtube-Video mit Bildern vom zu diesem Anlass veranstalteten Feuerwerk. Die verlinkten Websites liefern jedoch Malware aus.

Der Betreff dieser Mails enthält folglich Elemente wie zum Beispiel "Independence Day" "4th of July" und "Fireworks". Sie werden von Zombie-Rechnern des Waledac-Botnet verschickt. Mehr als zwei Dutzend neu registrierte Domains, deren Namen zum Teil Elemente wie "fireworks", "holiday", "movie" oder "video" kombinieren, verweisen auf Web-Server, die ebenfalls auf Rechnern des Waledac-Botnet laufen. Auch die Name-Server laufen auf solchen Zombie-PCs und lenken Web-Aufrufe in schnellem Wechsel auf verschiedene Botnet-Rechner.

Die Websites sehen alle gleich und enthalten einen Text, der behauptet, das auf der Seite erhältliche Video zeige ein prämiertes Feuerwerk. Das vermeintliche Vorschaufenster des Videos ist ein statisches GIF-Bild, das mit einem Link unterlegt ist. Das Anklicken dieses Bilds startet den Download einer über 600 KB großen EXE-Datei mit wechselnden Dateinamen wie etwa "run", "install" oder "fireworks".

Bei dieser EXE-Datei handelt es sich um eine Kopie der Waledac-Malware. Die Erkennung des Schädlings durch Antivirusprogramme wird dadurch erschwert, dass wie üblich in regelmäßigen Intervallen neue Variationen der Dateien erzeugt werden. Die folgende Tabelle gibt zudem nur die Erkennung mit Hilfe von Signaturen wieder. So manche Security-Suite enthält jedoch erweiterte Detektionstechniken, die auch unbekannte Schädlinge abfangen können.

Antivirus

Malware-Name

AntiVir

Worm/Iksmas.cqu

Authentium

---

Avast

---

AVG

FakeAlert.LG (Trojan horse)

Bitdefender

---

CA-AV

---

ClamAV

---

Dr Web

---

Eset Nod32

---

Fortinet

---

F-Prot

---

F-Secure 2009

Trojan:W32/Waledac.gen!J

F-Secure 2010

Trojan:W32/Waledac.gen!J

G-Data AVK 2008

Email-Worm.Win32.Iksmas.cqu

G-Data AVK 2009

---

Ikarus

Email-Worm.Win32.Iksmas

ISS VPS

---

K7 Computing

---

Kaspersky

Email-Worm.Win32.Iksmas.cqu

McAfee

W32/Waledac.gen.n

McAfee Artemis

W32/Waledac.gen.n

McAfee GW Edition

Worm.Iksmas.cqu

Microsoft

Trojan:Win32/Waledac.gen!A [generic]

Norman

---

Panda

---

Panda (Online)

Trj/CI.A

QuickHeal

---

Rising AV

---

Sophos

Mal/WaledPak-H

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

---

VirusBuster

---


Quelle: AV-Test , Stand: 06.07.2009, 14:00 Uhr

0 Kommentare zu diesem Artikel
104990