52472

Valentinsgrüße vom Sturm-Wurm

16.01.2008 | 14:06 Uhr |

Der Ausbau des Sturm-Botnets geht in die nächste Runde. Eine neue Mail-Kampagne der Sturm-Wurm-Bande bedient sich des Valentinstags als Aufhänger und verbreitet Links zu Malware-Sites.

Seit einigen Stunden läuft eine neue Welle von Malware-Spam der Sturm-Wurm-Bande in den Mailboxen auf. Der an sich erst in ein paar Wochen anstehende Valentinstag dient als Aufhänger für die neue Kampagne. Die Mails kommen mit einem Betreff wie "Come Relax with Me", "Kisses Through E-mail", "I Dream of you", "For You....My Love" oder "Sending You My Love". Ein knapper Einzeiler im Text soll die Empfänger auf eine der vielen identischen Websites innerhalb des Sturm-Botnets locken, auf deren IP-Adresse ein Link in der Mail führt.

Dort erwartet Besucher ein rosa Herz, das mit einem Download-Link auf eine Datei namens "withlove.exe" versehen ist. Der Text darunter enthält ebenfalls einen Link, der jedoch auf "with_love.exe" zeigt. Beide Dateien sind oft identisch, ändern sich jedoch alle paar Minuten. Die 144.688 Bytes große Datei installiert ein Rootkit, dessen Treiber mit dem Dateinamen "burito????-????.sys" (? = alphanumerische Zeichen) im System32-Verzeichnis von Windows abgelegt wird. Er wird mit ebenfalls versteckten Registry-Einträgen im System verankert.

Der Schädling reiht den befallenen PC in das Sturm-Botnet ein. Er durchsucht die Festplatte nach einer ganzen Reihe von Dateitypen, aus denen er Mail-Adressen extrahiert. An diese werden dann wieder Spam-Mails verschickt. Die Erkennung der EXE-Dateien durch Antivirus-Software ist derzeit noch schlecht, wird jedoch langsam besser.

Antivirus

Malware-Name

AntiVir

---

Avast!

---

AVG

I-Worm/Nuwar.L

A-Squared

---

Bitdefender

Trojan.Peed.ITB

ClamAV

---

Command AV

---

Dr Web

Trojan.MulDrop.10030

eSafe

---

eTrust

Win32/Sintun.BB

Ewido

---

F-Prot

---

F-Secure

---

Fortinet

suspicious

G-Data AVK

---

Ikarus

---

Kaspersky

---

McAfee

--- (W32/Nuwar@MM)*

Microsoft

---

Nod32

Win32/Nuwar worm

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

---

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

--- (WORM_NUWAR.BK)*

VBA32

---

VirusBuster

---

WebWasher

Win32.Malware.gen!88 (suspicious)

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 16.01.2008, 11 Uhr

0 Kommentare zu diesem Artikel
52472