160928

Halloween-Grüße mit tanzenden Knochen

31.10.2007 | 08:18 Uhr |

Mit einer neuen, der Jahreszeit angepassten Spam-Kampagne begeht die Sturm-Wurm-Bande das Halloween-Fest. Allerdings sind den Programmierern beim Feiern Fehler unterlaufen, sodass ein neues Design nötig wurde.

Alle Jahre wieder endet der Oktober mit Halloween, seit einigen Jahren auch wieder in Europa. Auch die Malware-Szene feiert mit - namentlich die Sturm-Wurm-Bande. Deren neue Mail- und Web-Kampagne hat jedoch am Dienstagabend mit einem Fehlstart begonnen. Die ursprünglich für die auf ständig wechselnden Zombie-PCs des Sturm-Botnets beheimateten Websites vorgesehene Frame-Konstruktion funktionierte nicht richtig und brachte zudem lange Ladezeiten mit sich. Da musste schnell was Neues her.

Die gegen Mitternacht erneuerten Websites bestehen nun nicht mehr aus einem Frameset und einer anderswo geklauten Animation. Vielmehr zeigen sie ein auf mehrere Dateien aufgeteiltes Halloween-Motiv, das deutlich schneller geladen wird. Der untere Teil der Seite enthält einen Download-Link für die Sturm-Malware, die den passenden Dateinamen "halloween.exe" trägt.

Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie zum Beispiel "Happy Halloween", "Party on this Halloween", "To much fun", "Nothing is funnier this Halloween" oder "Dancing Bones". Die gewohnt kurz gehaltenen Mail-Texte bestehen aus Zeilen wie "Come watch the little skeleton dance". Sie enthalten den üblichen Link auf eine der vielen IP-Adressen der Botnet-Rechner. Dort erwartet Neugierige unter dem Titel "The Dancing Skeleton" die oben beschriebene Website.

Diese Website enthält außerdem mehrfach verschleierten Javascript-Code, der versucht, einen zum Rechner des Besuchers passenden Exploit anzuwenden. Wie die "halloween.exe" reiht der eingeschleuste Programm-Code den Computer des Besuchers in die Zombie-Armee des Sturm-Botnets ein.

Erkennung des Downloads durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

WORM/Zhelatin.Gen

Avast!

---

AVG

Downloader.Tibs

A-Squared

---

Bitdefender

Trojan.Peed.ING

ClamAV

Trojan.Peed-39

Command AV

W32/StormWorm.G

Dr Web

Trojan.Packed.193

eSafe

File [100] (suspicious)

eTrust

Win32/Sintun.AK

Ewido

---

F-Prot

W32/StormWorm.G

F-Secure

Email-Worm.Win32.Zhelatin.lj

Fortinet

W32/Tibs.XD!tr

Ikarus

Email-Worm.Win32.Zhelatin.lj

Kaspersky

Email-Worm.Win32.Zhelatin.lj

McAfee

Tibs-Packed

Microsoft

Trojan:Win32/Tibs.EU

Nod32

Win32/Nuwar.Gen

Norman

Tibs.gen177

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

Trojan.Win32.Peed.dc

Sophos

Mal/Behav-146

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Packed.13

Trend Micro

WORM_ZHELATI.AXD

VBA32

---

VirusBuster

Trojan.Tibs.Gen!Pac.139

WebWasher

Worm.Zhelatin.Gen

GData AVK 2007 *

Email-Worm.Win32.Zhelatin.lj


Quelle: AV-Test , Stand: 31.10.2007, 4 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
160928