Neue Masche: Sturm-Wurm sendet keine Postkarten mehr
Die Sturm-Wurm-Bande hat einmal mehr ihre Taktik geändert. Nachdem mehrere Monate lang vorgebliche Grußkarten-Mails die Mailboxen verstopften, verbreiten die Spam-Schleudern nun Links zu angeblichen Fotos vernachlässigter Frauen.
Mit den seit Monaten notorischen E-Card-Mails scheint es vorbei zu sein. Die Betreiber legitimer Grußkartendienste können aufatmen. Am letzten Freitag hat die so genannte Storm-Worm-Gang eine neue taktische Variante eingeführt. Sie hatten bereits in den letzten Wochen mehrfach kleine Änderungen vorgenommen, indem sie den Aufbau der vorgeblichen Grußkarten-Mails sowie der verlinkten Web-Seiten variierten. Jetzt haben sie sich auf die Verbreitung von Links zu angeblichen Fotos einsamer Damen verlegt.
Die Mails enthalten meist fast keinen Text und kommen mit einem Betreff wie:
"Lonely? Me too. Look what I like to do when I get lonely."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."
Im Text dieser Mails heißt es dann nur noch lapidar "click http://<IP-Adresse>/". Andere Varianten kommen ohne Betreff und einer der oben genannten Sprüche steht im Mail-Text. Die verlinkten Websites versuchen weiterhin anfällige Browser, vor allem den Internet Explorer, durch Exploit-Code für bekannte Sicherheitslücken zum Einschleusen von Malware aus der Nuwar-/Zhelatin-Familie auszunutzen.
Wenn kein passender Exploit im Repertoire ist, erscheint eine Seite mit der Aufforderung eine Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren. Dazu bietet die Seite eine Datei "msdataaccess.exe" an, einen Downloader für die Bot-Software der Storm-Worm-Gang. Dieser lädt weitere Malware nach, die den Rechner in das Botnet der Sturm-Wurm-Bande eingliedert und ihn in eine fremdgesteuerte Spam-Schleuder umfunktioniert.
Erkennung des Downloaders durch Antivirus-Software:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Zhelatin.Gen |
| Avast! | --- |
| AVG | Downloader.Tibs.7.D |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.IFP |
| ClamAV | Trojan.Small-3608 |
| Command AV | --- |
| Dr Web | Trojan.Packed.142 |
| eSafe | Trojan/Worm [100] |
| eTrust | Win32/Sintun.AC |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | --- |
| Fortinet | W32/Tibs.DU!tr.dldr |
| Ikarus | --- |
| Kaspersky | Email-Worm.Win32.Zhelatin.gk |
| McAfee | --- (Tibs-Packed)* |
| Microsoft | Worm:Win32/Nuwar.gen |
| Nod32 | --- |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious |
| Rising AV | --- |
| Sophos | Mal/Dorf-E |
| Spybot S&D | --- |
| Symantec | Trojan.Packed.13 |
| Trend Micro | Possible_Nucrp-4 (WORM_NUWAR.APZ)* |
| VBA32 | --- |
| VirusBuster | Trojan.Tibs.Gen!Pac.132 |
| WebWasher | Worm.Zhelatin.Gen |
| GData AVK 2007 ** | Email-Worm.Win32.Zhelatin.gk |
Quelle: AV-Test, Stand: 20.08.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
