20158

Nugache in den Fußstapfen des Sturm-Wurms

10.01.2008 | 09:11 Uhr |

Eine neu entdeckte Version des schon länger bekannten Nugache-Wurms bringt eine Reihe neuer Funktionen mit, die bislang vor allem bei einer auch als "Sturm-Wurm" bekannten Bot-Familie beobachtet wurden.

Die Schädlingsfamilie Nuwar/Peacomm/Zhelatin, besser bekannt als "Sturm-Wurm", feiert in diesem Monat ihren ersten Geburtstag. Anfang Januar 2007 war die erste große Welle des Malware-Spams gestartet worden. Sie nutzte vorgebliche Nachrichten über den Sturm "Kyrill" als Aufhänger , woraus der Spitzname "Sturm-Wurm" entstand. Die Sturm-Wurm-Bande hat seitdem ein sehr großes Botnet aufgebaut. Mögliche Konkurrenz entsteht ihr nun durch eine grundlegend überarbeitete Fassung des Wurms "Nugache", der inzwischen ähnliche Fähigkeiten mitbringt wie der Sturm-Wurm.

Nugache tauchte vor etwa zwei Jahren erstmals als IM-Wurm auf, der sich über Chat-Programme verbreitete. Inzwischen haben Malware-Programmierer, die dem notorischen Russian Business Network (RBN) zugerechnet werden, den Wurm gründlich aufgemöbelt. Nugache fügt infizierte Rechner in ein Botnet ein, das über P2P-Protokolle gelenkt wird. Statt eines zentralen Kontroll-Servers wird die Steuerung auf eine Anzahl wechselnder Botnet PCs verteilt, was die Überlebenschancen des Botnets erheblich verbessert.

Das Bot-Programm bringt nun auch eine Funktion zu seiner eigenen Verschlüsselung mit, mit der jede Kopie geringfügig variiert wird. Dadurch soll die Erkennung durch Virenscanner erschwert werden. In verschiedenen Blogs sind bereits manipulierte Einträge aufgetaucht, die Links zu präparierten Web-Seiten enthalten. Wer diese Links anklickt, läuft Gefahr, dass sein Computer zu einem ferngesteuerten Zombie-PC des Nugache-Botnets wird.

Diese Links werden nicht etwa von den Bloggern gesetzt - vielmehr werden die Blog-Einträge mit Hilfe eines automatischen Programms namens "Xrunner" eingestellt, die Schwachstellen der Blog-Software ausnutzt. Das Einfügen vieler Schlüsselbegriffe in den manipulierten Blog-Eintrag sowie die Verlinkung dieser Blogs untereinander soll vordere Plätze in den Trefferlisten von Suchmaschinen einbringen. Auch bei der Installation vorgeblicher Video-Codecs wird häufig Nugache-Malware eingeschleust.

Das Auftauchen des neuen Konkurrenten für die Sturm-Wurm-Bande hat nach Einschätzung von Paul Henry, Vizepräsident von Secure Computing , die Preise auf dem Markt für Spam-Versand in Bewegung gebracht. Inzwischen werden für eine Million versandter Spam-Mails nur noch 100 US-Dollar verlangt.

0 Kommentare zu diesem Artikel
20158