07.04.2008, 09:52

Frank Ziemann

Stürmische Liebesgrüße

Sturm-Wurm lockt mit Romantik

Die Sturm-Wurm-Bande hat ihre Aprilscherze durch Liebesbriefe ersetzt. Statt direkt auf IP-Adressen des Sturm-Botnets zeigen die Links in den Mails nunmehr auf präparierte Blogspot-Seiten.
Sturm-Wurm lockt mit Romantik

Sturm-Wurm lockt mit Romantik

Die Zeit der Aprilscherze ist offenbar auch für die Malware-Verbreiter der Sturm-Wurm-Bande vorbei. Die Kampagne der letzten Woche haben sie durch eine mit Liebesgrüßen abgelöst. Die gewohnt kurz gehaltenen Mails verweisen diesmal nicht unmittelbar auf IP-Adressen von Zombie-Rechnern des eigenen Botnets sondern nehmen einen Umweg über präparierte Blogs auf der Website blogspot.com.
Dort erwartet neugierige Besucher ein plüschiges Bild, das mit einem Link auf eine Datei namens "love.exe" unterlegt ist. Ein Text-Link darunter verweist hingegen auf eine Datei "withlove.exe". Diese Dateien werden über eine andere Domain aus dem Botnet geliefert. Die Dateien sind 139.776 Bytes groß, meist identisch und werden in kurzen Intervallen neu generiert.
Die in den EXE-Dateien enthaltene Sturm-Malware rekrutiert frische Zombies für das Botnet. Befallene PCs werden zu fremdgesteuerten Spam-Schleudern oder liefern Web-Seiten und Malware für Rekrutierungskampagnen wie diese aus.
Die Erkennung der Malware durch Antivirus-Software ist noch lückenhaft, hat sich jedoch im Laufe der Nacht merklich verbessert. Offenbar hat sich ein Teil Antivirus-Hersteller inzwischen auf die veränderten Dateinamen eingestellt. Die anderen kämpfen anscheinend immer noch mit der generischen Erkennung der ständig neu erzeugten Dateien.
Antivirus Malware-Name
AntiVir Worm/Zhelatin.AO
Avast! ---
AVG I-Worm/Nuwar.R
A-Squared ---
Bitdefender ---
ClamAV Trojan.Peed-188
Command AV ---
Dr Web Trojan.Packed.426
CA-AV ---
F-Prot ---
F-Secure Email-Worm.Win32.Zhelatin.ww
Fortinet suspicious
G-Data AVK Email-Worm.Win32.Zhelatin.ww
Ikarus ---
Kaspersky Email-Worm.Win32.Zhelatin.ww
McAfee --- (W32/Nuwar@MM)*
Microsoft Worm:Win32/Nuwar.JZ
Nod32 ---
Norman ---
Panda ---
QuickHeal Suspicious (warning)
Rising AV ---
Sophos Troj/Dorf-BA
Spybot S&D Smitfraud-C.,,Executable
Sunbelt ---
Symantec ---
Trend Micro WORM_ZHELATI.LQ
VBA32 ---
VirusBuster ---
WebWasher Worm.Zhelatin.AO
Quelle: AV-Test, Stand: 07.04.08, 16 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
40814
Content Management by InterRed