97086

Neue Masche: Sturm-Wurm sendet keine Postkarten mehr

20.08.2007 | 14:23 Uhr |

Die Sturm-Wurm-Bande hat einmal mehr ihre Taktik geändert. Nachdem mehrere Monate lang vorgebliche Grußkarten-Mails die Mailboxen verstopften, verbreiten die Spam-Schleudern nun Links zu angeblichen Fotos vernachlässigter Frauen.

Mit den seit Monaten notorischen E-Card-Mails scheint es vorbei zu sein. Die Betreiber legitimer Grußkartendienste können aufatmen. Am letzten Freitag hat die so genannte Storm-Worm-Gang eine neue taktische Variante eingeführt. Sie hatten bereits in den letzten Wochen mehrfach kleine Änderungen vorgenommen, indem sie den Aufbau der vorgeblichen Grußkarten-Mails sowie der verlinkten Web-Seiten variierten . Jetzt haben sie sich auf die Verbreitung von Links zu angeblichen Fotos einsamer Damen verlegt.

Die Mails enthalten meist fast keinen Text und kommen mit einem Betreff wie:

"Lonely? Me too. Look what I like to do when I get lonely."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."

Im Text dieser Mails heißt es dann nur noch lapidar "click http://<IP-Adresse>/". Andere Varianten kommen ohne Betreff und einer der oben genannten Sprüche steht im Mail-Text. Die verlinkten Websites versuchen weiterhin anfällige Browser, vor allem den Internet Explorer, durch Exploit-Code für bekannte Sicherheitslücken zum Einschleusen von Malware aus der Nuwar-/Zhelatin-Familie auszunutzen.

Wenn kein passender Exploit im Repertoire ist, erscheint eine Seite mit der Aufforderung eine Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren. Dazu bietet die Seite eine Datei "msdataaccess.exe" an, einen Downloader für die Bot-Software der Storm-Worm-Gang. Dieser lädt weitere Malware nach, die den Rechner in das Botnet der Sturm-Wurm-Bande eingliedert und ihn in eine fremdgesteuerte Spam-Schleuder umfunktioniert.

Erkennung des Downloaders durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

WORM/Zhelatin.Gen

Avast!

---

AVG

Downloader.Tibs.7.D

A-Squared

---

Bitdefender

Trojan.Peed.IFP

ClamAV

Trojan.Small-3608

Command AV

---

Dr Web

Trojan.Packed.142

eSafe

Trojan/Worm [100]

eTrust

Win32/Sintun.AC

Ewido

---

F-Prot

---

F-Secure

---

Fortinet

W32/Tibs.DU!tr.dldr

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.gk

McAfee

--- (Tibs-Packed)*

Microsoft

Worm:Win32/Nuwar.gen

Nod32

---

Norman

---

Panda

---

QuickHeal

Suspicious

Rising AV

---

Sophos

Mal/Dorf-E

Spybot S&D

---

Symantec

Trojan.Packed.13

Trend Micro

Possible_Nucrp-4 (WORM_NUWAR.APZ)*

VBA32

---

VirusBuster

Trojan.Tibs.Gen!Pac.132

WebWasher

Worm.Zhelatin.Gen

GData AVK 2007 **

Email-Worm.Win32.Zhelatin.gk


Quelle: AV-Test , Stand: 20.08.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
97086