40814

Sturm-Wurm lockt mit Romantik

07.04.2008 | 09:52 Uhr |

Die Sturm-Wurm-Bande hat ihre Aprilscherze durch Liebesbriefe ersetzt. Statt direkt auf IP-Adressen des Sturm-Botnets zeigen die Links in den Mails nunmehr auf präparierte Blogspot-Seiten.

Die Zeit der Aprilscherze ist offenbar auch für die Malware-Verbreiter der Sturm-Wurm-Bande vorbei. Die Kampagne der letzten Woche haben sie durch eine mit Liebesgrüßen abgelöst. Die gewohnt kurz gehaltenen Mails verweisen diesmal nicht unmittelbar auf IP-Adressen von Zombie-Rechnern des eigenen Botnets sondern nehmen einen Umweg über präparierte Blogs auf der Website blogspot.com.

Dort erwartet neugierige Besucher ein plüschiges Bild, das mit einem Link auf eine Datei namens "love.exe" unterlegt ist. Ein Text-Link darunter verweist hingegen auf eine Datei "withlove.exe". Diese Dateien werden über eine andere Domain aus dem Botnet geliefert. Die Dateien sind 139.776 Bytes groß, meist identisch und werden in kurzen Intervallen neu generiert.

Die in den EXE-Dateien enthaltene Sturm-Malware rekrutiert frische Zombies für das Botnet. Befallene PCs werden zu fremdgesteuerten Spam-Schleudern oder liefern Web-Seiten und Malware für Rekrutierungskampagnen wie diese aus.

Die Erkennung der Malware durch Antivirus-Software ist noch lückenhaft, hat sich jedoch im Laufe der Nacht merklich verbessert. Offenbar hat sich ein Teil Antivirus-Hersteller inzwischen auf die veränderten Dateinamen eingestellt. Die anderen kämpfen anscheinend immer noch mit der generischen Erkennung der ständig neu erzeugten Dateien.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.AO

Avast!

---

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

---

ClamAV

Trojan.Peed-188

Command AV

---

Dr Web

Trojan.Packed.426

CA-AV

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.ww

Fortinet

suspicious

G-Data AVK

Email-Worm.Win32.Zhelatin.ww

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.ww

McAfee

--- (W32/Nuwar@MM)*

Microsoft

Worm:Win32/Nuwar.JZ

Nod32

---

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Troj/Dorf-BA

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

---

Trend Micro

WORM_ZHELATI.LQ

VBA32

---

VirusBuster

---

WebWasher

Worm.Zhelatin.AO

Quelle: AV-Test , Stand: 07.04.08, 16 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
40814