Neue Sturm-Mails
Weihnachts- und Neujahrsgrüße mit Malware-Link
Nach Wochen scheinbarer Inaktivität hat sich die Sturm-Wurm-Bande zurück gemeldet. Mit vorgeblichen Gruß-Mails zu Weihnachten und zum Neuen Jahr werden Links zu Malware-Sites verbreitet, die das Storm-Botnet mit frischen Zombies versorgen sollen.
Die letzte Spam-Kampagne der Sturm-Wurm-Bande hat bis Mitte November das Halloween-Thema genutzt, um vorgebliche Grußkarten-Mails unters Volk zu bringen. Am Heiligen Abend haben die Malware-Spammer dann eine Weihnachts-Kampagne gestartet. Die Mails wurden mit einem Betreff wie etwa "Jingle Bells, Jingle Bells", "Santa Said, HO HO HO", "Warm Up this Christmas", "Christmas Email", "Cold Winter Nights", "The Twelve Girls Of Christmas", "Mrs. Clause Is Out Tonight!" oder "Merry Christmas To All" verschickt. Die Links verwiesen auf die Domain "merrychristmasdude.com". Jeder Aufruf dieser Adresse landete auf einem anderen Zombie-PC des Botnets und lieferte eine leicht variierte Fassung der stets 132 KB großen Datei "stripshow.exe". Die Websites waren mit Exploit-Code gespickt, um über Sicherheitslücken im Browser weitere Malware einzuschleusen.
Am ersten Feiertag gab es dann eine neue Mail-Welle, bereits mit Grüßen zum Neuen Jahr. Der Betreff der Mails lautete zum Beispiel: "New Year wishes for you", "A fresh new year", "Happy 2008!", "Happy New Year!" oder auch "New Year Postcard". Die neue Domain-Adresse für die Malware-Links hieß "uhavepostcard.com", als Download gab es "happy2008.exe" (139 KB). Auf Exploit-Code und eine grafisch gestaltete Website wurde verzichtet.
Am zweiten Feiertag hat sich nicht viel getan, lediglich der Dateiname wurde auf "happy-2008.exe" geändert. Erst am Abend haben die Malware-Spammer mit "happycards2008.com" auch eine neue Domain ins Spiel gebracht, die derzeit noch Stand der Dinge ist.
Die Antivirus-Hersteller haben sich über die Feiertage wenig Ruhe gegönnt, da Angriffswellen dieser Art zu erwarten waren. Bereits in der Nacht zum 25. Dezember haben fast alle Virenscanner die ständig variierten EXE-Dateien problemlos erkannt. Die zweite Welle hat sie jedoch auf dem falschen Fuß erwischt und es hat fast einen Tag gedauert, bis wenigstens die Hälfte der Antivirus-Hersteller im Bilde war.
Bei der aktuellen Malware-Kampagne zeigen Antivirus-Programme heute Morgen noch ein durchwachsenes Bild bei der Erkennung der Schädlinge:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Rootkit.Gen |
| Avast! | Win32:Zhelatin-ASX [Wrm] |
| AVG | Dropper.Generic.TLF (Trojan horse) |
| A-Squared | --- |
| Bitdefender | Trojan.Agent.AGHI |
| ClamAV | --- |
| Command AV | W32/StormWorm.R |
| Dr Web | Trojan.Spambot.2387 |
| eSafe | --- |
| eTrust | --- |
| Ewido | --- |
| F-Prot | W32/StormWorm.R |
| F-Secure | Email-Worm.Win32.Zhelatin.pl |
| Fortinet | W32/Tibs.G@mm |
| Ikarus | Virus.Win32.Zhelatin.ASX |
| Kaspersky | Email-Worm.Win32.Zhelatin.pl |
| McAfee | --- |
| McAfee (BETA) | W32/Nuwar@MM |
| Microsoft | Backdoor:WinNT/Nuwar.B!sys (suspicious) |
| Nod32 | Win32/Fuclip.AW trojan |
| Norman | --- |
| Panda | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Mal/Dorf-H |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Trojan.Peacomm |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Rootkit.Gen |
| G-Data AVK ** | Email-Worm.Win32.Zhelatin.pl |
Quelle: AV-Test (http://www.av-test.de), Stand: 27.12.2007, 8:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
