Neue Sturm-Wurm-Taktik
Spam-Sites für Medikamente
Über das Botnet der Sturm-Wurm-Bande werden Spam-Mails verbreitet, die Werbung für Online-Shops enthalten, in denen Medikamente feil geboten werden. Die Links in den Mails führen auf Weiterleitungsseiten, die auf Botnet-Rechnern liegen.
Botnets werden von ihren Betreibern gerne an Spammer vermietet, um über die fremdgesteuerten Zombie-PCs Spam-Mails zu verbreiten. Die Sturm-Wurm-Bande setzt allem Anschein nach neuerdings auf eine Strategie der Mehrfachnutzung. Die Zombie-PCs verbreiten Spam-Mails, dienen als Zwischenstation für Links zu den per Spam beworbenen Online-Shops und beherbergen auch weiterhin die Download-Seiten für die Sturm-Malware.
Forscher des Sicherheitsunternehmens Websense berichten im Blog der Websense Security Labs über die neue Taktik der Sturm-Wurm-Bande. Die vom Sturm-Botnet verbreiteten Spam-Mails enthalten einen Link nach dem Schema "http://<IP-Adresse>/<Unterverzeichnis>/", also etwa "http://123.123.123.123/name/". Die beim Anklicken des Links aufgerufene Seite liegt auf einem Zombie-PC des Botnets und leitet zur Website einer zweifelhaften Online-Apotheke weiter, die einen ganz normalen Domain-Namen hat.
Im Hauptverzeichnis des Web-Servers auf dem Zombie-PC (also "http://<IP-Adresse>/") liegt weiterhin die Download-Seite für die seit Mitte Januar laufende Malware-Kampagne der Sturm-Wurm-Bande. Dort gibt es zwar mittlerweile ein neues Bild mit ähnlichem Motiv wie zuvor, ansonsten hat sich jedoch nicht viel geändert.
Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.
Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.
Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.ow |
| Avast! | --- |
| AVG | I-Worm/Nuwar.L |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.ITU |
| ClamAV | Trojan.Dropper-3840 |
| Command AV | --- |
| Dr Web | Trojan.Packed.336 |
| eSafe | File [100] (suspicious) |
| eTrust | Win32/Sintun!generic |
| Ewido | --- |
| F-Prot | W32/Zhelatin.E.gen!Eldorado |
| F-Secure | Email-Worm.Win32.Zhelatin.uq |
| Fortinet | W32/PackTibs.L |
| G-Data AVK | Email-Worm.Win32.Zhelatin.uq |
| Ikarus | --- |
| Kaspersky | Email-Worm.Win32.Zhelatin.uq |
| McAfee | W32/Nuwar@MM |
| Microsoft | Backdoor:Win32/Nuwar.gen!B |
| Nod32 | Win32/Nuwar.Gen worm |
| Norman | Tibs.gen193 |
| Panda | --- |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Mal/Dorf-K |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | TROJ_NUWAR.KE |
| VBA32 | --- |
| VirusBuster | Trojan.DR.Zhelatin.BE.Gen |
| WebWasher | Worm.Zhelatin.ow |
Quelle: AV-Test (http://www.av-test.de), Stand: 30.01.2008, 14 Uhr
