18870

Erdbeben in China als Malware-Köder

19.06.2008 | 08:54 Uhr |

Eine neue Welle von Malware-Spam aus dem Sturm-Botnet lockt mit vorgeblichen Nachrichten über ein neues Erdbeben in China. Ein angebliches Video der Katastrophe dient als Köder für Gaffer.

Die Sturm-Wurm-Bande hat sich für den Moment von ihrem Lieblingsthema Liebesgrüße abgewandt und kehrt zurück zu ihren Anfängen. Ihre erste Welle von Malware-Spam lockte im Januar 2007 mit angeblichen Nachrichten über den Sturm "Kyrill" (daher der Spitzname "Sturm-Wurm"). Seit gestern läuft eine neue Spam-Kampagne, die vorgibt von einem erneuten Erdbeben in China zu berichten. Es habe die Stärke 9 gehabt und gefährde die Ausrichtung der Olympischen Spiele in Peking.

Die Mails tragen einen Betreff wie "2008 Olympic Games are under the threat", "A new deadly catastrophe in China", "A new powerful disaster in China", "China is paralyzed by new earthquake", "Countless victims of earthquake in China", "Death toll in China exceeds 1000000", "Death toll in China is growing", "Recent china earthquake kills million", "Recent earthquake in china took a heavy toll" oder "The most powerful quake hits China".

Die Mails enthalten einen Link zu einer Website auf einem der Zombie-Rechner des Sturm-Botnets. Diese zeigt ein vorwiegend schwarzes Bild, das auf ein nicht geladenes Video hindeuten soll. Wer darauf klickt, lädt die Sturm-Malware mit dem Dateinamen "beijing.exe" und einer Größe von knapp 120 KB herunter. Deren Erkennung durch Antivirus-Programme ist zurzeit noch recht gering.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.zc

Avast!

Win32:TDrop [Drp]

AVG

---

A-Squared

---

Bitdefender

Trojan.Peed.JLV

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

---

Fortinet

---

G-Data AVK

Win32:TDrop [Drp]

Ikarus

Email-Worm.Win32.Zhelatin.zy

Kaspersky

---

McAfee

--- (W32/Nuwar@MM)*

Microsoft

Backdoor:Win32/Nuwar.gen!D

Nod32

Win32/Nuwar worm

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

W32/Nuwar-E

Spybot S&D

---

Sunbelt

---

Symantec

--- (Trojan.Peacomm.D)*

Trend Micro

--- (WORM_NUWAR.XX)*

VBA32

---

VirusBuster

---

WebWasher

Worm.Zhelatin.zc

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 19.06.2008,11 Uhr

0 Kommentare zu diesem Artikel
18870