178374

Die Rückkehr des Sturm-Wurms

29.04.2010 | 15:41 Uhr |

Der dominierende Schädling des Jahres 2007, als Sturm-Wurm bekannt, scheint in einer neuen Version aufgetaucht zu sein. Auch das Sturm-Botnet ist wieder da, berichten Malware-Forscher.

In den Top 10 der Internet-Malware aller Zeiten rangiert der berüchtigte Sturm-Wurm immerhin auf Platz 9. er war im Jahr 2007 derjenige Schädling, über den wir am Häufigsten berichten mussten. Immer neue Varianten bauten eines der ersten P2P-Botnets auf, das große Mengen am Spam-Mails verschickt hat. Jetzt ist eine neue Variante des Ende 2008 verschwundenen Schädlings aufgetaucht, die in großen Teilen identisch mit dem Vorgänger ist.

Wie Felix Leder im Blog des Honeynet-Projekts berichtet, besteht die neue Sturm-Variante zu etwa zwei Dritteln aus Code, der 1:1 aus dem alten Schädling kopiert worden ist. Was fehlt, ist der P2P-Code für die Kommunikation der Bots untereinander. Die Kommandostruktur des Botnetzes wird nunmehr über HTTP unterhalten. Unklar ist noch, ob die damaligen Programmierer der Sturm-Malware den Quelltext verkauft haben oder selbst wieder aktiv geworden sind.

Wer auch immer die neue Version in Umlauf gebracht hat, scheint zwar den Dateinamen, den der Schädling benutzt, in "asam.exe" geändert zu haben, nicht jedoch den der Konfigurationsdatei. Diese heißt immer noch "herjek.config" und residiert im Windows-Verzeichnis. Die Kommandostruktur scheint auch nicht sonderlich robust zu sein, denn sie verlässt sich offenbar auf einen einzelnen Server in den Niederlanden.

Das Sturm-Botnet ist bereits recht aktiv und macht, was es früher auch schon getan hat - es verschickt Spam-Mails. Die Mails werben für Dating-Websites sowie für dubiose Online-Shops, die gefälschte Medikamente verkaufen, vorzugsweise Potenzpillen. Heutzutage ist das Sturm-Botnet nur eines unter vielen, jedoch eines mit einer Geschichte.

0 Kommentare zu diesem Artikel
178374