136904

Spam-Sites für Medikamente

30.01.2008 | 16:18 Uhr |

Über das Botnet der Sturm-Wurm-Bande werden Spam-Mails verbreitet, die Werbung für Online-Shops enthalten, in denen Medikamente feil geboten werden. Die Links in den Mails führen auf Weiterleitungsseiten, die auf Botnet-Rechnern liegen.

Botnets werden von ihren Betreibern gerne an Spammer vermietet, um über die fremdgesteuerten Zombie-PCs Spam-Mails zu verbreiten. Die Sturm-Wurm-Bande setzt allem Anschein nach neuerdings auf eine Strategie der Mehrfachnutzung. Die Zombie-PCs verbreiten Spam-Mails, dienen als Zwischenstation für Links zu den per Spam beworbenen Online-Shops und beherbergen auch weiterhin die Download-Seiten für die Sturm-Malware.

Forscher des Sicherheitsunternehmens Websense berichten im Blog der Websense Security Labs über die neue Taktik der Sturm-Wurm-Bande. Die vom Sturm-Botnet verbreiteten Spam-Mails enthalten einen Link nach dem Schema "http://<IP-Adresse>/<Unterverzeichnis>/", also etwa "http://123.123.123.123/name/". Die beim Anklicken des Links aufgerufene Seite liegt auf einem Zombie-PC des Botnets und leitet zur Website einer zweifelhaften Online-Apotheke weiter, die einen ganz normalen Domain-Namen hat.

Im Hauptverzeichnis des Web-Servers auf dem Zombie-PC (also "http://<IP-Adresse>/") liegt weiterhin die Download-Seite für die seit Mitte Januar laufende Malware-Kampagne der Sturm-Wurm-Bande . Dort gibt es zwar mittlerweile ein neues Bild mit ähnlichem Motiv wie zuvor, ansonsten hat sich jedoch nicht viel geändert.

Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.

Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.ow

Avast!

---

AVG

I-Worm/Nuwar.L

A-Squared

---

Bitdefender

Trojan.Peed.ITU

ClamAV

Trojan.Dropper-3840

Command AV

---

Dr Web

Trojan.Packed.336

eSafe

File [100] (suspicious)

eTrust

Win32/Sintun!generic

Ewido

---

F-Prot

W32/Zhelatin.E.gen!Eldorado

F-Secure

Email-Worm.Win32.Zhelatin.uq

Fortinet

W32/PackTibs.L

G-Data AVK

Email-Worm.Win32.Zhelatin.uq

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.uq

McAfee

W32/Nuwar@MM

Microsoft

Backdoor:Win32/Nuwar.gen!B

Nod32

Win32/Nuwar.Gen worm

Norman

Tibs.gen193

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Mal/Dorf-K

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Peacomm.D

Trend Micro

TROJ_NUWAR.KE

VBA32

---

VirusBuster

Trojan.DR.Zhelatin.BE.Gen

WebWasher

Worm.Zhelatin.ow

Quelle: AV-Test ( http://www.av-test.de ), Stand: 30.01.2008, 14 Uhr

0 Kommentare zu diesem Artikel
136904