Sturm-Wurm
Halloween-Grüße mit tanzenden Knochen
Mit einer neuen, der Jahreszeit angepassten Spam-Kampagne begeht die Sturm-Wurm-Bande das Halloween-Fest. Allerdings sind den Programmierern beim Feiern Fehler unterlaufen, sodass ein neues Design nötig wurde.
Alle Jahre wieder endet der Oktober mit Halloween, seit einigen Jahren auch wieder in Europa. Auch die Malware-Szene feiert mit - namentlich die Sturm-Wurm-Bande. Deren neue Mail- und Web-Kampagne hat jedoch am Dienstagabend mit einem Fehlstart begonnen. Die ursprünglich für die auf ständig wechselnden Zombie-PCs des Sturm-Botnets beheimateten Websites vorgesehene Frame-Konstruktion funktionierte nicht richtig und brachte zudem lange Ladezeiten mit sich. Da musste schnell was Neues her.
Die gegen Mitternacht erneuerten Websites bestehen nun nicht mehr aus einem Frameset und einer anderswo geklauten Animation. Vielmehr zeigen sie ein auf mehrere Dateien aufgeteiltes Halloween-Motiv, das deutlich schneller geladen wird. Der untere Teil der Seite enthält einen Download-Link für die Sturm-Malware, die den passenden Dateinamen "halloween.exe" trägt.
Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie zum Beispiel "Happy Halloween", "Party on this Halloween", "To much fun", "Nothing is funnier this Halloween" oder "Dancing Bones". Die gewohnt kurz gehaltenen Mail-Texte bestehen aus Zeilen wie "Come watch the little skeleton dance". Sie enthalten den üblichen Link auf eine der vielen IP-Adressen der Botnet-Rechner. Dort erwartet Neugierige unter dem Titel "The Dancing Skeleton" die oben beschriebene Website.
Diese Website enthält außerdem mehrfach verschleierten Javascript-Code, der versucht, einen zum Rechner des Besuchers passenden Exploit anzuwenden. Wie die "halloween.exe" reiht der eingeschleuste Programm-Code den Computer des Besuchers in die Zombie-Armee des Sturm-Botnets ein.
Erkennung des Downloads durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Zhelatin.Gen |
| Avast! | --- |
| AVG | Downloader.Tibs |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.ING |
| ClamAV | Trojan.Peed-39 |
| Command AV | W32/StormWorm.G |
| Dr Web | Trojan.Packed.193 |
| eSafe | File [100] (suspicious) |
| eTrust | Win32/Sintun.AK |
| Ewido | --- |
| F-Prot | W32/StormWorm.G |
| F-Secure | Email-Worm.Win32.Zhelatin.lj |
| Fortinet | W32/Tibs.XD!tr |
| Ikarus | Email-Worm.Win32.Zhelatin.lj |
| Kaspersky | Email-Worm.Win32.Zhelatin.lj |
| McAfee | Tibs-Packed |
| Microsoft | Trojan:Win32/Tibs.EU |
| Nod32 | Win32/Nuwar.Gen |
| Norman | Tibs.gen177 |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | Trojan.Win32.Peed.dc |
| Sophos | Mal/Behav-146 |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | Trojan.Packed.13 |
| Trend Micro | WORM_ZHELATI.AXD |
| VBA32 | --- |
| VirusBuster | Trojan.Tibs.Gen!Pac.139 |
| WebWasher | Worm.Zhelatin.Gen |
| GData AVK 2007 * | Email-Worm.Win32.Zhelatin.lj |
