Malware-Sturm in China
Sturm-Wurm setzt wieder Exploits ein
Erstmals seit etlichen Monaten hat die Sturm-Wurm-Bande ihre Seiten wieder mit Exploit-Code ausgestattet, der Sicherheitslücken zum Einschleusen der Sturm-Malware ausnutzen soll.
Die Betreiber des Sturm-Botnets haben mehr als ein halbes Dutzend neue Domains in China (.cn) registriert. Sie werden in Rahmen der aktuellen Spam-Kampagne mit vorgeblichen Liebesbriefen einsetzt. Das so genannte Fast-Flux-Botnet der Sturm-Wurm-Bande ordnet beim Aufruf einer solchen URL die IP-Adresse eines gerade erreichbare Zombie-PCs zu. Der die Website mit dem Internet Explorer (IE) besucht, bekommt eine mit Exploit-Code ausgestattete Seite geliefert. Benutzer anderer Browser, etwa Firefox oder Opera, sehen die bereits bekannte Seite ohne Exploits, auf der ein vorgeblicher "Storm Codec" zum Download bereit liegt.
Der beim Besuch mit dem IE zunächst geladene Exploit versucht eine alte MDAC-Schwachstelle (MS06-014) auszunutzen. Klappt diese nicht, wird mit einiger Verzögerung ein weiterer Versuch mit einem Exploit für eine noch ältere IE-Lücke (MS05-052) gestartet. Bei beiden landet im Erfolgsfall letztlich die gleiche Malware-Datei auf dem Rechner, die auch auf den an Firefox-Nutzer ausgelieferten Seiten als "Storm Codec" aufgenötigt wird. Die lokale Kopie auf dem Rechner des Opfers trägt jedoch den Dateinamen "win.exe".
Inzwischen werden auch wieder in kurzen Intervallen neue Malware-Dateien generiert, die zwar die gleiche Größe (129 KB) und Code-Basis haben, jedoch eine jeweils andere Prüfsumme. Dadurch soll es Antivirus-Programmen erschwert werden den Schädling zu erkennen. Dies hatte zunächst Erfolg, inzwischen haben sich die Antivirus-Hersteller jedoch darauf eingestellt.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.AP |
| Avast! | --- |
| AVG | I-Worm/Nuwar.R |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.JEL |
| CA-AV (eTrust) | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | Trojan.Packed.431 |
| eSafe | File [100] (suspicious) |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Email-Worm.Win32.Zhelatin.xh |
| Fortinet | suspicious |
| G-Data AVK | Email-Worm.Win32.Zhelatin.xh |
| Ikarus | --- |
| Kaspersky | Email-Worm.Win32.Zhelatin.xh |
| McAfee | --- (W32/Nuwar@MM)* |
| Microsoft | Backdoor:Win32/Nuwar.gen!C |
| Nod32 | --- |
| Norman | --- |
| Panda | Suspicious file |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Troj/Dorf-BA |
| Spybot S&D | Smitfraud-C.,,Executable |
| Symantec | Trojan.Peacomm |
| Trend Micro | --- |
| Trend Micro (BETA) | WORM_NUWAR.JQ |
| VBA32 | --- |
| VirusBuster | Worm.Zhelatin.Gen!Pac.6 |
| WebWasher | Worm.Zhelatin.AP |
Quelle: AV-Test (http://www.av-test.de), Stand: 11.04.08, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
