Sturm-Wurm
Neue Angriffe zielen auf File-Sharer und Football-Fans
Immer neue Wellen von Sturm-Wurm-Mails schwappen in die Mailboxen. Mit den neusten Mails dieser Art zielen die Malware-Spammer auf Nutzer von Tauschbörsen und Fans von American Football.
Ende letzter Woche wendete sich die Sturm-Wurm-Bande an die Nutzer von File-Sharing-Diensten und spielte mit der Angst vor Verfolgung durch die Musikindustrie. Die Mails kamen mit einem Betreff wie zum Beispiel "Your privacy is no longer safe", "Your Privacy is being violated" oder "Careful, you.re being watched." Im Text der Mails wurde ein Programm versprochen, das vor der Verfolgung durch Rechteverwerter schützen soll. Dabei bedienten sich die Täter der Bekanntheit des Anonymierungs-Tools TOR (The Onion Router) und boten eine "tor.exe" zum Download an.
Am Freitag Abend wechselten die Malware-Spammer zurück zur bereits erprobten Masche mit vorgeblichen Links zu YouTube-Videos. Auch dieser Kampagne war jedoch nur eine kurze Lebensdauer vergönnt. Nach dem bislang letzten Wechsel des Mail-Themas sind nun Fans des American Football im Visier. Diese Mails tragen einen Betreff wie "Football Fan Essentials", "Free NFL Game Tracker", "NFL Season Is Here!" oder "Get Your Free NFL Game Tracker".
Die Links in den Mails zeigen, wie auch schon bislang bei den Sturm-Wurm-Mails üblich, direkt auf IP-Adressen. Die darüber zu erreichenden Websites haben eine nur sehr kurze Lebenserwartung, denn sie liegen meist auf Rechnern, die nur über eine dynamisch vergebene IP-Adresse verfügen.
Die beim Aufruf im Browser geladene Startseite zeigt eine umfangreiche Tabelle und bietet eine Datei namens "tracker.exe" zum Download an, bei der es sich vorgeblich um ein Programm zum Verfolgen der Spielergebnisse der NFL handelt soll. Den Angriff über Sicherheitslücken im Browser haben die Botnet-Betreiber zwischenzeitlich eingestellt und setzen im Moment nur auf den freiwilligen Download der Malware. Das kann sich allerdings jederzeit wieder ändern.
Wer die angebotene Datei herunter lädt und aufruft, startet ein Trojanisches Pferd. Es lädt einen Bot herunter, der den PC in eine fremdgesteuerte Spam-Schleuder, einen so genannten "Zombie-PC" verwandelt. Der Rechner wird Teil des bereits aus mehreren Millionen Computern bestehenden Sturm-Botnets.
Erkennung der Datei "tracker.exe" (aus einer Stichprobe) durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Zhelatin.Gen |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | DeepScan:Generic.Zlob.0F030BEF |
| ClamAV | Trojan.Small-3689 |
| Command AV | --- |
| Dr Web | --- |
| eSafe | Trojan/Worm [100] |
| eTrust | Win32/Sintun.AF |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | --- (Packed.Win32.Tibs.bt)* |
| Fortinet | W32/Tibs.BS!tr |
| Ikarus | --- |
| Kaspersky | Packed.Win32.Tibs.bt |
| McAfee | --- (Tibs-Packed)* |
| Microsoft | TrojanDropper:Win32/Nuwar.gen!avkill |
| Nod32 | --- |
| Norman | Tibs.gen134 |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Mal/Dorf-D |
| Spybot S&D | --- |
| Sunbelt | VIPRE.Suspicious |
| Symantec | --- |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Worm.Zhelatin.Gen |
| GData AVK 2007 ** | Packed.Win32.Tibs.bt |
Quelle: AV-Test, Stand: 10.09.2007, 3 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast
