171474

Neue Grußkarten-Mails vom Sturm-Wurm

03.03.2008 | 13:15 Uhr |

Die Sturm-Wurm-Bande hat eine neue Mail-Kampagne mit vorgeblichen Grußkarten gestartet. Sie missbrauchen dazu den guten Namen einer bestehenden Grußkarten-Website.

Die neue Spam-Kampagne der Sturm-Wurm-Bande folgt einmal mehr der bereits vielfach bewährten Masche vorgeblicher Grußkarten-Mails. Die Malware-Spammer missbrauchen dazu den Namen einer legitimen Grußkarten Website, funnypostcard.com. Die Mail kommen mit einem Betreff wie "This greeting's for you!", "Your ecard joke is waiting", "Someone Just sent you an ecard", "ecard waiting for you" und dergleichen mehr.

Der wie immer kurz gehaltene Text der Mails lautet zum Beispiel: "Someone Sent you this Funny Ecard", "laughing Funny Card", You have been sent a Funny Postcard" und so weiter, Das Internet Storm Center hält eine längere Liste bereit. Es folgt ein Link zu einer IP-Adresse, hinter der ein Zombie-PC des Sturm-Botnets für kurze Zeit auf Besucher wartet. Je nach dem, wie lange der Besitzer des Rechners online ist, geht der Link früher oder später ins Leere.

Die neu gestaltete Website der Sturm-Wurm-Kampagne zeigt ein kleines Bild, das den Eindruck erwecken soll, man sei bei funnypostcard.com gelandet. Die Seite bietet ihre Malware unter drei verschiedenen Dateinamen an. Nach fünf Sekunden startet automatisch ein Download-Dialog, mit dem eine Datei "ecard.exe" herunter geladen werden soll. Für den Fall, dass dies nicht klappen sollte, bietet die Seite noch den manuellen Download von "e-card.exe" an. Wer auf das Bild klickt, erhält eine "postcard.exe".

Die Dateien sind manchmal alle drei identisch, manchmal auch nicht. Sie sind meist um die 120 KB groß. Es handelt sich dabei um Malware aus der Familie Nuwar/Peacomm/Zhelatin, für die jeder Antivirus-Hersteller einen anderen Namen verwendet. Wird sie ausgeführt, gliedert sie den PC in das Botnet der Sturm-Wurm-Bande ein. Er wird damit zur fremdgesteuerten Spam-Schleuder oder zum Web-Server oben beschriebener Art.

Die Programmierer der Malware haben nicht noch einmal tief in die Trickkiste gegriffen und so ist die Erkennung der Schädlinge durch Antivirus-Software recht gut.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.pc

Avast!

---

AVG

I-Worm/Nuwar.N

A-Squared

---

Bitdefender

Trojan.Peed.IWV

ClamAV

Trojan.Peed-130

Command AV

---

Dr Web

Trojan.Packed.357

eTrust

Win32/Sintun!generic

Ewido

---

F-Prot

W32/Zhelatin.F.gen!Eldorado

F-Secure

Email-Worm.Win32.Zhelatin.vg

Fortinet

W32/PackTibs.M

G-Data AVK

Email-Worm.Win32.Zhelatin.vg

Ikarus

Trojan.Peed.IWV

Kaspersky

Email-Worm.Win32.Zhelatin.vg

McAfee

W32/Nuwar@MM

Microsoft

TrojanDropper:Win32/Nuwar.gen!B

Nod32

Win32/Nuwar.Gen worm

Norman

---

Panda

---

QuickHeal

Win32.Email-Worm.Zhelatin.vg

Rising AV

Worm.Mail.Win32.Zhelatin.wqu

Sophos

W32/Dorf-AX

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

Trojan.Peacomm

Trend Micro

WORM_NUWAR.AR

VBA32

Email-Worm.Win32.Zhelatin.vg

VirusBuster

Worm.DR.Zhelatin.Gen.4

WebWasher

Worm.Zhelatin.pc

Quelle: AV-Test ( http://www.av-test.de ), Stand: 03.03.2008, 11:30 Uhr

0 Kommentare zu diesem Artikel
171474