66554

Weihnachts- und Neujahrsgrüße mit Malware-Link

27.12.2007 | 11:33 Uhr |

Nach Wochen scheinbarer Inaktivität hat sich die Sturm-Wurm-Bande zurück gemeldet. Mit vorgeblichen Gruß-Mails zu Weihnachten und zum Neuen Jahr werden Links zu Malware-Sites verbreitet, die das Storm-Botnet mit frischen Zombies versorgen sollen.

Die letzte Spam-Kampagne der Sturm-Wurm-Bande hat bis Mitte November das Halloween-Thema genutzt, um vorgebliche Grußkarten-Mails unters Volk zu bringen. Am Heiligen Abend haben die Malware-Spammer dann eine Weihnachts-Kampagne gestartet. Die Mails wurden mit einem Betreff wie etwa "Jingle Bells, Jingle Bells", "Santa Said, HO HO HO", "Warm Up this Christmas", "Christmas Email", "Cold Winter Nights", "The Twelve Girls Of Christmas", "Mrs. Clause Is Out Tonight!" oder "Merry Christmas To All" verschickt. Die Links verwiesen auf die Domain "merrychristmasdude.com". Jeder Aufruf dieser Adresse landete auf einem anderen Zombie-PC des Botnets und lieferte eine leicht variierte Fassung der stets 132 KB großen Datei "stripshow.exe". Die Websites waren mit Exploit-Code gespickt, um über Sicherheitslücken im Browser weitere Malware einzuschleusen.

Am ersten Feiertag gab es dann eine neue Mail-Welle, bereits mit Grüßen zum Neuen Jahr. Der Betreff der Mails lautete zum Beispiel: "New Year wishes for you", "A fresh new year", "Happy 2008!", "Happy New Year!" oder auch "New Year Postcard". Die neue Domain-Adresse für die Malware-Links hieß "uhavepostcard.com", als Download gab es "happy2008.exe" (139 KB). Auf Exploit-Code und eine grafisch gestaltete Website wurde verzichtet.

Am zweiten Feiertag hat sich nicht viel getan, lediglich der Dateiname wurde auf "happy-2008.exe" geändert. Erst am Abend haben die Malware-Spammer mit "happycards2008.com" auch eine neue Domain ins Spiel gebracht, die derzeit noch Stand der Dinge ist.

Die Antivirus-Hersteller haben sich über die Feiertage wenig Ruhe gegönnt, da Angriffswellen dieser Art zu erwarten waren. Bereits in der Nacht zum 25. Dezember haben fast alle Virenscanner die ständig variierten EXE-Dateien problemlos erkannt. Die zweite Welle hat sie jedoch auf dem falschen Fuß erwischt und es hat fast einen Tag gedauert, bis wenigstens die Hälfte der Antivirus-Hersteller im Bilde war.

Bei der aktuellen Malware-Kampagne zeigen Antivirus-Programme heute Morgen noch ein durchwachsenes Bild bei der Erkennung der Schädlinge:

Antivirus

Malware-Name

AntiVir

TR/Rootkit.Gen

Avast!

Win32:Zhelatin-ASX [Wrm]

AVG

Dropper.Generic.TLF (Trojan horse)

A-Squared

---

Bitdefender

Trojan.Agent.AGHI

ClamAV

---

Command AV

W32/StormWorm.R

Dr Web

Trojan.Spambot.2387

eSafe

---

eTrust

---

Ewido

---

F-Prot

W32/StormWorm.R

F-Secure

Email-Worm.Win32.Zhelatin.pl

Fortinet

W32/Tibs.G@mm

Ikarus

Virus.Win32.Zhelatin.ASX

Kaspersky

Email-Worm.Win32.Zhelatin.pl

McAfee

---

McAfee (BETA)

W32/Nuwar@MM

Microsoft

Backdoor:WinNT/Nuwar.B!sys (suspicious)

Nod32

Win32/Fuclip.AW trojan

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Mal/Dorf-H

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Peacomm

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Rootkit.Gen

G-Data AVK **

Email-Worm.Win32.Zhelatin.pl

Quelle: AV-Test ( http://www.av-test.de ), Stand: 27.12.2007, 8:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
66554