Malware-Spam
Neue Grußkarten-Mails vom Sturm-Wurm
Die Sturm-Wurm-Bande hat eine neue Mail-Kampagne mit vorgeblichen Grußkarten gestartet. Sie missbrauchen dazu den guten Namen einer bestehenden Grußkarten-Website.
Die neue Spam-Kampagne der Sturm-Wurm-Bande folgt einmal mehr der bereits vielfach bewährten Masche vorgeblicher Grußkarten-Mails. Die Malware-Spammer missbrauchen dazu den Namen einer legitimen Grußkarten Website, funnypostcard.com. Die Mail kommen mit einem Betreff wie "This greeting's for you!", "Your ecard joke is waiting", "Someone Just sent you an ecard", "ecard waiting for you" und dergleichen mehr.
Der wie immer kurz gehaltene Text der Mails lautet zum Beispiel: "Someone Sent you this Funny Ecard", "laughing Funny Card", You have been sent a Funny Postcard" und so weiter, Das Internet Storm Center hält eine längere Liste bereit. Es folgt ein Link zu einer IP-Adresse, hinter der ein Zombie-PC des Sturm-Botnets für kurze Zeit auf Besucher wartet. Je nach dem, wie lange der Besitzer des Rechners online ist, geht der Link früher oder später ins Leere.
Die neu gestaltete Website der Sturm-Wurm-Kampagne zeigt ein kleines Bild, das den Eindruck erwecken soll, man sei bei funnypostcard.com gelandet. Die Seite bietet ihre Malware unter drei verschiedenen Dateinamen an. Nach fünf Sekunden startet automatisch ein Download-Dialog, mit dem eine Datei "ecard.exe" herunter geladen werden soll. Für den Fall, dass dies nicht klappen sollte, bietet die Seite noch den manuellen Download von "e-card.exe" an. Wer auf das Bild klickt, erhält eine "postcard.exe".
Die Dateien sind manchmal alle drei identisch, manchmal auch nicht. Sie sind meist um die 120 KB groß. Es handelt sich dabei um Malware aus der Familie Nuwar/Peacomm/Zhelatin, für die jeder Antivirus-Hersteller einen anderen Namen verwendet. Wird sie ausgeführt, gliedert sie den PC in das Botnet der Sturm-Wurm-Bande ein. Er wird damit zur fremdgesteuerten Spam-Schleuder oder zum Web-Server oben beschriebener Art.
Die Programmierer der Malware haben nicht noch einmal tief in die Trickkiste gegriffen und so ist die Erkennung der Schädlinge durch Antivirus-Software recht gut.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.pc |
| Avast! | --- |
| AVG | I-Worm/Nuwar.N |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.IWV |
| ClamAV | Trojan.Peed-130 |
| Command AV | --- |
| Dr Web | Trojan.Packed.357 |
| eTrust | Win32/Sintun!generic |
| Ewido | --- |
| F-Prot | W32/Zhelatin.F.gen!Eldorado |
| F-Secure | Email-Worm.Win32.Zhelatin.vg |
| Fortinet | W32/PackTibs.M |
| G-Data AVK | Email-Worm.Win32.Zhelatin.vg |
| Ikarus | Trojan.Peed.IWV |
| Kaspersky | Email-Worm.Win32.Zhelatin.vg |
| McAfee | W32/Nuwar@MM |
| Microsoft | TrojanDropper:Win32/Nuwar.gen!B |
| Nod32 | Win32/Nuwar.Gen worm |
| Norman | --- |
| Panda | --- |
| QuickHeal | Win32.Email-Worm.Zhelatin.vg |
| Rising AV | Worm.Mail.Win32.Zhelatin.wqu |
| Sophos | W32/Dorf-AX |
| Spybot S&D | Smitfraud-C.,,Executable |
| Sunbelt | --- |
| Symantec | Trojan.Peacomm |
| Trend Micro | WORM_NUWAR.AR |
| VBA32 | Email-Worm.Win32.Zhelatin.vg |
| VirusBuster | Worm.DR.Zhelatin.Gen.4 |
| WebWasher | Worm.Zhelatin.pc |
Quelle: AV-Test (http://www.av-test.de), Stand: 03.03.2008, 11:30 Uhr
