16.01.2008, 14:06

Frank Ziemann

Malware-Spam

Valentinsgrüße vom Sturm-Wurm

Der Ausbau des Sturm-Botnets geht in die nächste Runde. Eine neue Mail-Kampagne der Sturm-Wurm-Bande bedient sich des Valentinstags als Aufhänger und verbreitet Links zu Malware-Sites.
Valentinsgrüße vom Sturm-Wurm

Valentinsgrüße vom Sturm-Wurm

Seit einigen Stunden läuft eine neue Welle von Malware-Spam der Sturm-Wurm-Bande in den Mailboxen auf. Der an sich erst in ein paar Wochen anstehende Valentinstag dient als Aufhänger für die neue Kampagne. Die Mails kommen mit einem Betreff wie "Come Relax with Me", "Kisses Through E-mail", "I Dream of you", "For You....My Love" oder "Sending You My Love". Ein knapper Einzeiler im Text soll die Empfänger auf eine der vielen identischen Websites innerhalb des Sturm-Botnets locken, auf deren IP-Adresse ein Link in der Mail führt.
Dort erwartet Besucher ein rosa Herz, das mit einem Download-Link auf eine Datei namens "withlove.exe" versehen ist. Der Text darunter enthält ebenfalls einen Link, der jedoch auf "with_love.exe" zeigt. Beide Dateien sind oft identisch, ändern sich jedoch alle paar Minuten. Die 144.688 Bytes große Datei installiert ein Rootkit, dessen Treiber mit dem Dateinamen "burito????-????.sys" (? = alphanumerische Zeichen) im System32-Verzeichnis von Windows abgelegt wird. Er wird mit ebenfalls versteckten Registry-Einträgen im System verankert.
Der Schädling reiht den befallenen PC in das Sturm-Botnet ein. Er durchsucht die Festplatte nach einer ganzen Reihe von Dateitypen, aus denen er Mail-Adressen extrahiert. An diese werden dann wieder Spam-Mails verschickt. Die Erkennung der EXE-Dateien durch Antivirus-Software ist derzeit noch schlecht, wird jedoch langsam besser.
Antivirus Malware-Name
AntiVir ---
Avast! ---
AVG I-Worm/Nuwar.L
A-Squared ---
Bitdefender Trojan.Peed.ITB
ClamAV ---
Command AV ---
Dr Web Trojan.MulDrop.10030
eSafe ---
eTrust Win32/Sintun.BB
Ewido ---
F-Prot ---
F-Secure ---
Fortinet suspicious
G-Data AVK ---
Ikarus ---
Kaspersky ---
McAfee --- (W32/Nuwar@MM)*
Microsoft ---
Nod32 Win32/Nuwar worm
Norman ---
Panda ---
QuickHeal ---
Rising AV ---
Sophos ---
Spybot S&D ---
Sunbelt ---
Symantec ---
Trend Micro --- (WORM_NUWAR.BK)*
VBA32 ---
VirusBuster ---
WebWasher Win32.Malware.gen!88 (suspicious)
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test (http://www.av-test.de), Stand: 16.01.2008, 11 Uhr
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
52472
Content Management by InterRed