128590

Neue Botnet-Kampagne mit Rootkit

31.03.2008 | 16:13 Uhr |

Mit einer neuen Spam-Kampagne versuchen die Betreiber des Pandex-Botnets neue Zombies zu rekrutieren. Die Verbreitung der Malware erfolgt sowohl als Mail-Anhang als auch mittels Links in den Mails.

Während es um die Sturm-Wurm-Bande derzeit recht ruhig zu sein scheint, bauen andere Botnet-Betreiber ihre Netzwerke fremdgesteuerter Zombie-PCs weiter aktiv aus. So läuft seit dem Wochenende eine neue Mail-Kampagne, die einen Spambot aus der Pandex-Familie verbreitet. Dabei setzen die Malware-Spammer auf eine zweigleisige Taktik. Sie versenden zum Teil Mails mit schädlichem Anhang, zum Teil enthalten die Mails einen Download-Link auf eine kompromittierte Website.

Die Mails mit Anhang sind einmal mehr als Grußkarten-Mails getarnt und kommen mit einem Betreff wie "You have card". Sie enthalten ein Archiv namens "greeting.zip", das den Schädling als "card.scr" beherbergt. Er wird von praktisch allen aktuellen Virenscannern erkannt. Die Malware-Namen sind dabei sehr unterschiedlich und reichen von "DieHard" über "Kobcka" und "Pandex" bis "Pushdo".

Die über Download-Links verbreiteten Varianten werden hingegen nur lückenhaft erkannt. Die Links zeigen zum Beispiel auf eine "photo.exe", begleitet von einem Mail-Text, der zum Klicken verleiten soll. Gemeinsam ist allen Varianten, dass sie eine Datei namens "ntos.exe" im Windows\System32-Verzeichnis sowie eine "audio.dll" (oder "video.dll") im Unterverzeichnis "wsnpoem" von Windows\System32 ablegen. Es handelt sich um Komponenten eines Rootkits. Diese und weitere Malware-Dateien werden aus dem Internet nachgeladen.

Erkennung einer typischen Pandex-Datei durch aktuelle Virenscanner:

Antivirus

Malware-Name

AntiVir

TR/Dldr.Small.iwn.5

Avast!

---

AVG

Downloader.Generic7.CPC (Trojan horse)

A-Squared

---

Bitdefender

---

CA-AV (eTrust)

---

ClamAV

---

Command AV

---

Dr Web

---

Ewido

---

F-Prot

---

F-Secure

Trojan-Downloader.Win32.Small.iwn

Fortinet

W32/Small.IWN!tr.dldr

G-Data AVK

Trojan-Downloader.Win32.Small.iwn

Ikarus

Trojan-Downloader.Win32.Small.iwn

Kaspersky

Trojan-Downloader.Win32.Small.iwn

McAfee

--- (Downloader.gen.a trojan)*

Microsoft

TrojanDropper:Win32/Cutwail.Z

Nod32

---

Norman

---

Panda

--- (Trj/BedeTres.P)*

QuickHeal

---

Rising AV

---

Sophos

Troj/Dloadr-BJV

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

---

Symantec

Trojan.Pandex

Trend Micro

---

VBA32

---

VirusBuster

Trojan.DR.Pandex.Gen.4

WebWasher

Trojan.Dldr.Small.iwn.5

Quelle: AV-Test, www.av-test.org , Stand: 31.03.08, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
128590