64060

Malware ködert mit US-Einmarsch in den Iran

09.07.2008 | 11:35 Uhr |

Die neueste Malware-Kampagne der Sturm-Wurm-Bande berichtet über einen angeblich bevorstehenden dritten Weltkrieg, weil die USA in den Iran einmarschiert seien. Letztlich ist es jedoch wieder nur ein Köder zur Rekrutierung neuer Zombies.

Die Spam-Welle hat gestern Abend begonnen und lockt mit Schlagzeilen um einen angeblichen Angriff des US-Militärs auf den Iran. Tatsächlich jedoch ist die so genannte Sturm-Wurm-Bande nur auf der Suche nach neuen Rekruten für ihre Zombie-Armee gekaperter PCs. Nach Einschätzung von Sicherheitsforschern sind Thema und Aufmachung sorgfältig gewählt, treffen offenbar die Stimmungslage in den USA und anderswo. Daher könnte diese Malware-Kampagne recht erfolgreich sein.

Die Spam-artig verbreiten Mails tragen einen Betreff wie "The World War III has already begun", "20000 US soldiers in Iran", "Iran USA conflict developed into war", "More than 10000 Iranians were murdered", "Negotiations between USA and Iran ended in War", "The Iran's Leader Mahmoud Ahmadinejad declared Jihad to USA", "The secret war against Iran" oder "USA declares war on Iran". Die gleichen Zeilen finden sich auch in den gewohnt kurzen Mail-Texten wieder, gefolgt von einem Link..

Dieser Link führt auf eine neu gestaltete Website, für die auch wieder neue Domains registriert worden sind. Sie wird von bereits fremdgesteuerten Rechnern des Sturm-Botnets serviert. Am Kopf der Seite prangt die Imitation eines Werbebanners, das für eine Organisation US-amerikanischer Kriegsveteranen wirbt. Unterlegt ist das Banner mit einem Link auf eine etwa 118 KB große Datei mit dem Namen "form.exe".

Darunter soll ein GIF-Bild eine Vorschau in YouTube-Manier ein Video vortäuschen. Dem darunter stehenden Text nach soll es die ersten Minuten des Einmarsches in den Iran zeigen und von den Soldaten selbst aufgenommen worden sein. Das Bild ist mit einer Datei namens "iran_occupation.exe" verknüpft. Auch im Text, der zum Anklicken des vorgeblichen Videos auffordert, gibt es noch einen Link auf diese 118 KB große Datei.

Beide Dateien enthalten die Sturm-Malware, die den Rechner in das Botnet einreiht. Wird sie ausgeführt, legt sie im Windows-Verzeichnis die Dateien "msserv.exe" und "msserv.config" an. Die EXE-Datei wird zum automatischen Laden beim Windows-Start in die Registry eingetragen. Unter anderem stellt der Schädling auch die Server "time.windows.com" und "time.nist.gov" als Zeitquellen für das automatische Stellen der Systemuhr ein.

Im HTML-Quelltext der Web-Seite verbirgt sich außerdem noch ein Iframe, der eine PHP-Datei lädt. Diese enthält in mehrfach verschleiertem Javascript Exploit-Code, um Benutzern des Internet Explorers die Sturm-Malware ganz ohne Anklicken von Links unterzuschieben. Die neu rekrutierten Zombies betätigen sich dann als Spam-Schleudern, die Anleger in betrügerische Aktiengeschäfte verwickeln sollen (so genannter Penny-Stock-Spam). Außerdem verbreiten sie Werbe-Mails für unseriöse Arzneimittelversender und die oben genannten Köder-Mails mit den Kriegsnachrichten.

Etwa einen halben Tag nach Beginn der neuen Sturm-Kampagne erkennen nur sehr wenige Antivirus-Programme die aktuellen, immer wieder neu generierten Fassungen der Sturm-Malware.

Antivirus

Malware-Name

AntiVir

---

Avast!

---

AVG

I-Worm/Nuwar.U

A-Squared

---

Bitdefender

Dropped:Trojan.Peed.PM

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

---

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

---

Fortinet

---

G-Data AVK

---

Ikarus

---

Kaspersky

---

McAfee

--- (W32/Nuwar@MM

Microsoft

---

Nod32

Win32/Nuwar.DD worm (variant)

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

Troj/Tibs-UO

Spybot S&D

---

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

---

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test ( http://www.av-test.de ), Stand: 09.07.08, 6:30 Uhr

0 Kommentare zu diesem Artikel
64060