18966

Malware-Spam folgt Sturm-Wurm-Beispiel

23.06.2008 | 16:21 Uhr |

Eine weitere Welle von Malware-Spam ist dem Beispiel des Sturm-Wurms gefolgt und hat eine Reihe fiktiver Katastrophen als Köder benutzt, um potenzielle Opfer auf ein nachgeahmtes Video-Portal zu locken.

In der letzten Woche hat die Sturm-Wurm-Bande eine neue Spam-Kampagne gestartet , für die ein angebliches Erdbeben in China als Aufhänger diente. Dem ist eine weitere Welle mit Malware-Spam nachgefolgt, die ebenfalls mit frei erfundenen Sensationsmeldungen auf Bauernfang gegangen ist. Die Bandbreite der Themen reicht von Britney Spears über Erdbeben bis zum Präsidentschaftswahlkampf in den USA.

Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Britney found hanged in locker room", "White House hit by lightning, catches fire", "Eiffel Tower damaged by massive earthquake", "Lastest! Obama quits presidential race", "Osama Bin Laden caught finally !" oder "Egypt Giza pyramids rocked by massive earthquake" - um nur einige zu nennen. Zu diesem Zeitpunkt (am Freitag) geradezu hellseherisch ist der Betreff "Italy knocked out of Euro 2008". Die Mails enthalten einen kurzen Text, der meist eher auf Werbung für Potenzpillen oder dergleichen hindeutet, sowie ein Link zu einer von mehreren Websites. Die URL verweist stets auf eine Seite "/r.html" bei unterschiedlichen Domains. Es handelt sich meist um gehackte Websites.

Wer dem Link folgt, bekommt eine Seite zu sehen, die eine Imitation eines pornografischen Videoportals namens "PornTube" darstellen soll. Was im Stil von YouTube wie ein Video aussieht, das zum Starten anklickt werden muss, ist tatsächlich ein Download-Link für ein Trojanisches Pferd. Wer darauf klickt, erhält eine etwa 66 KB große Datei namens "video.exe".

Benutzer des Internet Explorers bekommen auch ohne dies eine Fehlermeldung angezeigt, die auf eine angeblich fehlende ActiveX-Komponente zum Anzeigen des Videos hinweist. Wer diese Meldung mit einem Klick auf "OK" bestätigt, erhält ebenfalls besagte video.exe. Dieser Schädling startet sogleich eine neue Welle von Spam-Mails im Stil der oben beschriebenen, vorgeblichen Sensationsmeldungen.

Die Erkennung durch Antivirus-Programme ist recht gut. Möglicherweise wegen des verwendeten EXE-Packprogramms rechnen einige Antivirushersteller den Schädling zur Sturm-Familie. Malware-Namen wie "Nuwar", "Peed", "Tibs" und "Zhelatin" deuten darauf hin.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.AW

Avast!

Win32:Trojan-gen {Other}

AVG

Agent.WVP (Trojan horse)

A-Squared

Trojan-Downloader.Win32.Agent.tyw

Bitdefender

Trojan.Peed.JMH

CA-AV

Win32/Collet.CB

ClamAV

Trojan.Downloader.TibsPak

Command AV

W32/Downldr2.CGGN

Dr Web

Trojan.DownLoader.62005

eSafe

File [100] (suspicious)

Ewido

Downloader.Agent.tyw

F-Prot

W32/Downldr2.CGGN

F-Secure

Trojan-Downloader.Win32.Agent.tyw

Fortinet

W32/PolyZlob!tr.dldr

G-Data AVK

Trojan-Downloader.Win32.Agent.tyw

Ikarus

Trojan-Dropper.Win32.Nuwar.ldt

Kaspersky

Trojan-Downloader.Win32.Agent.tyw

McAfee

BackDoor-DNM trojan

Microsoft

TrojanDropper:Win32/Nuwar.gen!ldt

Nod32

Win32/Agent.ETH trojan

Norman

W32/Malware.DBUI

Panda

Trj/Exchanger.G

QuickHeal

TrojanDownloader.Agent.tyw

Rising AV

---

Sophos

Mal/TibsPak

Spybot S&D

Worldsecurityonline.FakeAlert,,Executable

Sunbelt

Trojan-Downloader.Win32.Agent.qxx

Symantec

Trojan.Erotpics

Trend Micro

TROJ_AGENT.ISU

VBA32

Trojan.Win32.Revelation

VirusBuster

Trojan.Tibs.Gen!Pac.132

WebWasher

Worm.Zhelatin.AW

Quelle: AV-Test ( http://www.av-test.de ), Stand: 23.06.2008, 14 Uhr

0 Kommentare zu diesem Artikel
18966