112964

Sturm-Wurm setzt wieder Exploits ein

11.04.2008 | 18:00 Uhr |

Erstmals seit etlichen Monaten hat die Sturm-Wurm-Bande ihre Seiten wieder mit Exploit-Code ausgestattet, der Sicherheitslücken zum Einschleusen der Sturm-Malware ausnutzen soll.

Die Betreiber des Sturm-Botnets haben mehr als ein halbes Dutzend neue Domains in China (.cn) registriert. Sie werden in Rahmen der aktuellen Spam-Kampagne mit vorgeblichen Liebesbriefen einsetzt. Das so genannte Fast-Flux-Botnet der Sturm-Wurm-Bande ordnet beim Aufruf einer solchen URL die IP-Adresse eines gerade erreichbare Zombie-PCs zu. Der die Website mit dem Internet Explorer (IE) besucht, bekommt eine mit Exploit-Code ausgestattete Seite geliefert. Benutzer anderer Browser, etwa Firefox oder Opera, sehen die bereits bekannte Seite ohne Exploits, auf der ein vorgeblicher "Storm Codec" zum Download bereit liegt.

Der beim Besuch mit dem IE zunächst geladene Exploit versucht eine alte MDAC-Schwachstelle (MS06-014) auszunutzen. Klappt diese nicht, wird mit einiger Verzögerung ein weiterer Versuch mit einem Exploit für eine noch ältere IE-Lücke (MS05-052) gestartet. Bei beiden landet im Erfolgsfall letztlich die gleiche Malware-Datei auf dem Rechner, die auch auf den an Firefox-Nutzer ausgelieferten Seiten als "Storm Codec" aufgenötigt wird. Die lokale Kopie auf dem Rechner des Opfers trägt jedoch den Dateinamen "win.exe".

Inzwischen werden auch wieder in kurzen Intervallen neue Malware-Dateien generiert, die zwar die gleiche Größe (129 KB) und Code-Basis haben, jedoch eine jeweils andere Prüfsumme. Dadurch soll es Antivirus-Programmen erschwert werden den Schädling zu erkennen. Dies hatte zunächst Erfolg, inzwischen haben sich die Antivirus-Hersteller jedoch darauf eingestellt.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.AP

Avast!

---

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

Trojan.Peed.JEL

CA-AV (eTrust)

---

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.431

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.xh

Fortinet

suspicious

G-Data AVK

Email-Worm.Win32.Zhelatin.xh

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.xh

McAfee

--- (W32/Nuwar@MM)*

Microsoft

Backdoor:Win32/Nuwar.gen!C

Nod32

---

Norman

---

Panda

Suspicious file

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Troj/Dorf-BA

Spybot S&D

Smitfraud-C.,,Executable

Symantec

Trojan.Peacomm

Trend Micro

---

Trend Micro (BETA)

WORM_NUWAR.JQ

VBA32

---

VirusBuster

Worm.Zhelatin.Gen!Pac.6

WebWasher

Worm.Zhelatin.AP


Quelle: AV-Test ( http://www.av-test.de ), Stand: 11.04.08, 13:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
112964