133148

Neue Kampagne zielt auf File-Sharer

18.10.2007 | 14:51 Uhr |

Die nächste Welle von Malware-Spam soll potenzielle Opfer auf eine präparierte Website locken, die den Download einer vorgeblichen P2P-Software anbietet.

Zwar sind bislang noch nicht sehr viele Mails der Sturm-Wurm-Bande aufgetaucht, die Welle rollt jedoch an. Das Botnet ist vorbereitet ständig Websites mit neuen IP-Adressen bereit zu stellen, die neue Schädlingsvarianten ausliefern. Zielscheibe der neuen Kampagne sind vorwiegend Nutzer von P2P-Dateitauschdiensten.

Die Mails der Sturm-Wurm-Bande sind regelmäßig daran zu erkennen, dass sie nur wenig Text und einen Link enthalten, der direkt auf eine IP-Adresse zeigt. Der Betreff der aktuellen Malware-Spams lautet zum Beispiel: "here is the music you wanted", "man here is the link", "you have go tot get this", "here is the krackin link", "krackin download" oder auch "check it out".

In der aktuellen Fassung bieten die darin verlinkten Websites unter dem Titel "Krackin - The Global Sharing Network" eine vorgebliche P2P-Software namens "Krackin" an. Die angebotene Datei "krackin.exe" ist eine neue Fassung des Sturm-Bots aus der Malware-Familie Nuwar/Peacomm/Zhelatin. Ganz falsch ist die Bezeichung "P2P-Software" jedoch auch nicht - immerhin nutzt das Sturm-Botnet intern eifrig P2P-Techniken, neuerdings sogar mit verschlüsseltem Datenverkehr.

Auch wer die angebotene Datei nicht herunter lädt und startet, ist in Gefahr, wenn er die Website öffnet. Mehrfach verschleierter Javascript-Code auf Basis des Angriffs-Kits "MPack" wartet darauf Sicherheitslücken im Browser ausnutzen zu können, um Malware (die so genannte "Payload") einschleusen zu können.

Erkennung der aktuellen Sturm-Malware durch Antivirus-Software:

Antivirus

krackin.exe

Payload

AntiVir

WORM/Zhelatin.Gen

WORM/Zhelatin.Gen

Avast!

---

Win32:Tibser

AVG

Downloader.Tibs.7.AM

Downloader.Tibs.7.AM

A-Squared

---

---

Bitdefender

Trojan.Peed.HQP

Trojan.Peed.HQP

ClamAV

---

---

Command AV

---

---

Dr Web

Trojan.Packed.187

Trojan.Packed.187

eSafe

File [100] (suspicious)

---

eTrust

Win32/Tibs!generic

Win32/Tibs!generic

Ewido

---

---

F-Prot

suspicious

suspicious

F-Secure

Packed.Win32.Tibs.cn

Packed.Win32.Tibs.cn

Fortinet

W32/PackTibs.CN!tr

W32/PackTibs.CN!tr

Ikarus

Packed.Win32.Tibs.cn

Packed.Win32.Tibs.cn

Kaspersky

Packed.Win32.Tibs.cn

Packed.Win32.Tibs.cn

McAfee

Tibs-Packed

Tibs-Packed

Microsoft

TrojanDownloader:Win32/Tibs.P

TrojanDownloader:Win32/Tibs.P

Nod32

Win32/Nuwar.AV

Win32/Nuwar.AV

Norman

Tibs.gen173

Tibs.gen174

Panda

Suspicious file

---

QuickHeal

Win32.Packed.Tibs.cn120

Suspicious

Rising AV

---

---

Sophos

Mal/Behav-146

Mal/TibsPak

Spybot S&D

---

---

Sunbelt

---

---

Symantec

Trojan.Packed.13

---

Trend Micro

WORM_NUCRYPT.GEN

WORM_NUCRYPT.GEN

VBA32

---

---

VirusBuster

Trojan.Tibs.Gen!Pac.138

Trojan.Tibs.Gen!Pac.138

WebWasher

Worm.Zhelatin.Gen

Worm.Zhelatin.Gen

GData AVK 2007 *

Packed.Win32.Tibs.cn

Packed.Win32.Tibs.cn

Quelle: AV-Test , Stand: 18.10.2007, 14:30 Uhr

* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
133148