168126

Sturm-Botnet wirbt für Arzneimittel-Versender

17.06.2008 | 09:31 Uhr |

Die gekaperten Rechner des Sturm-Botnets werden zum Versand von Spam-Mails genutzt, die für unseriöse Medikamentenversandhändler werben. Damit erwirtschaften die Botnet-Betreiber ihr Einkommen, wie ein Bericht von IronPort zeigt.

Bereits seit geraumer Zeit gibt es deutliche Hinweise, dass die Betreiber des Sturm-Botnets einen Teil der gekaperten Rechner ("Zombies") zum Mail-Versand im Auftrag von Spammern nutzen. Die Cisco-Tochter IronPort , spezialisiert auf Mail-Sicherheit, hat kürzlich einen Bericht veröffentlicht, in dem die Forscher die Aktivitäten der Sturm-Wurm-Bande darstellen. Insbesondere fällt auf, dass die Sturm-Zombies vor allem Spam verbreiten, der für kanadische Arzneimittelversender wirbt. Die bieten vor allem Potenzmittel an, die wahrscheinlich aus Fälschungen bekannter Markenware bestehen.

Ihre erfolgreichste Zeit hatte die Sturm-Wurm-Bande dem Bericht von IronPort nach im Sommer 2007. Zu dieser Zeit sollen geschätzte 1,4 Millionen Rechner aktive Bestandteile des Sturm-Bots gewesen sein. Monatlich sollen etwa 900.000 neue Zombies hinzu gekommen sein. Mittlerweile sind diese Zahlen stark zurück gegangen - teilweise, weil verseuchte Computer desinfiziert wurden, teilweise durch Diversifizierung des Botnets. Letzteres ist durch die Aufteilung des Botnets in mehrere kleinere Netze geschehen.

Das Sturm-Bot ist dezentral organisiert und nutzt neueste Peer-to-Peer-Techniken. So kann es nicht einfach durch Ausschalten eines oder einiger weniger Kommando-Server außer Gefecht gesetzt werden. Es vergrößert sich zudem selbsttätig - die Zombies verbreiteten Mails vorgeblichen Liebesbotschaften. Die Mails enthalten jeweils einen Link auf die IP-Adresse eines Zombies, wo ein Web-Server die Sturm-Malware zum Download bereit hält. Außerdem kann sich das Botnet selbst verteidigen - es kann DoS-Angriffe gegen Forscher starten, die das Botnet genauer untersuchen wollen.

Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist derzeit recht gut, weist jedoch noch Lücken auf.

Antivirus

Malware-Name

AntiVir

TR/Dropper.Gen

Avast!

---

AVG

I-Worm/Nuwar.T

A-Squared

---

Bitdefender

Trojan.Peed.JLV

CA-AV

Win32/Sintun.EZ

ClamAV

---

Command AV

---

Dr Web

Trojan.DownLoader.62867

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

W32/Zhelatin.L.gen!Eldorado

F-Secure

Email-Worm.Win32.Zhelatin.zy

Fortinet

W32/PackTibs.O

G-Data AVK

Email-Worm.Win32.Zhelatin.zy

Ikarus

Email-Worm.Win32.Zhelatin.zy

Kaspersky

Email-Worm.Win32.Zhelatin.zy

McAfee

W32/Nuwar@MM

Microsoft

Backdoor:Win32/Nuwar.A

Nod32

Win32/Nuwar.CY worm (variant)

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

Worm.Mail.Win32.Zhelatin.xe

Sophos

Mal/TibsPak

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Peacomm.D

Trend Micro

WORM_NUWAR.CAR

VBA32

---

VirusBuster

Worm.DR.Zhelatin.Gen!Pac.11

WebWasher

Trojan.Dropper.Gen

Quelle: AV-Test ( http://www.av-test.de ), Stand: 16.06.2008, 16 Uhr

0 Kommentare zu diesem Artikel
168126