Malware-Spam
Neue Botnet-Kampagne mit Rootkit
Mit einer neuen Spam-Kampagne versuchen die Betreiber des Pandex-Botnets neue Zombies zu rekrutieren. Die Verbreitung der Malware erfolgt sowohl als Mail-Anhang als auch mittels Links in den Mails.
Während es um die Sturm-Wurm-Bande derzeit recht ruhig zu sein scheint, bauen andere Botnet-Betreiber ihre Netzwerke fremdgesteuerter Zombie-PCs weiter aktiv aus. So läuft seit dem Wochenende eine neue Mail-Kampagne, die einen Spambot aus der Pandex-Familie verbreitet. Dabei setzen die Malware-Spammer auf eine zweigleisige Taktik. Sie versenden zum Teil Mails mit schädlichem Anhang, zum Teil enthalten die Mails einen Download-Link auf eine kompromittierte Website.
Die Mails mit Anhang sind einmal mehr als Grußkarten-Mails getarnt und kommen mit einem Betreff wie "You have card". Sie enthalten ein Archiv namens "greeting.zip", das den Schädling als "card.scr" beherbergt. Er wird von praktisch allen aktuellen Virenscannern erkannt. Die Malware-Namen sind dabei sehr unterschiedlich und reichen von "DieHard" über "Kobcka" und "Pandex" bis "Pushdo".
Die über Download-Links verbreiteten Varianten werden hingegen nur lückenhaft erkannt. Die Links zeigen zum Beispiel auf eine "photo.exe", begleitet von einem Mail-Text, der zum Klicken verleiten soll. Gemeinsam ist allen Varianten, dass sie eine Datei namens "ntos.exe" im Windows\System32-Verzeichnis sowie eine "audio.dll" (oder "video.dll") im Unterverzeichnis "wsnpoem" von Windows\System32 ablegen. Es handelt sich um Komponenten eines Rootkits. Diese und weitere Malware-Dateien werden aus dem Internet nachgeladen.
Erkennung einer typischen Pandex-Datei durch aktuelle Virenscanner:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.Small.iwn.5 |
| Avast! | --- |
| AVG | Downloader.Generic7.CPC (Trojan horse) |
| A-Squared | --- |
| Bitdefender | --- |
| CA-AV (eTrust) | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Trojan-Downloader.Win32.Small.iwn |
| Fortinet | W32/Small.IWN!tr.dldr |
| G-Data AVK | Trojan-Downloader.Win32.Small.iwn |
| Ikarus | Trojan-Downloader.Win32.Small.iwn |
| Kaspersky | Trojan-Downloader.Win32.Small.iwn |
| McAfee | --- (Downloader.gen.a trojan)* |
| Microsoft | TrojanDropper:Win32/Cutwail.Z |
| Nod32 | --- |
| Norman | --- |
| Panda | --- (Trj/BedeTres.P)* |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Troj/Dloadr-BJV |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | --- |
| Symantec | Trojan.Pandex |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | Trojan.DR.Pandex.Gen.4 |
| WebWasher | Trojan.Dldr.Small.iwn.5 |
Quelle: AV-Test, www.av-test.org , Stand: 31.03.08, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
* noch nicht in offiziellen Virensignaturen enthalten
