Sturm-Wurm
Neuer Köder - FBI vs. Facebook
Die neueste Malware-Kampagne der Sturm-Wurm-Bande greift Medienberichte über Ermittlungen der amerikanischen Bundespolizei FBI beim sozialen Netzwerk Facebook auf. Der Köder soll neue Opfer für das Botnet anlocken.
Amerikanische Medien haben in letzter Zeit darüber berichtet, das FBI ermittele beim Online-Netzwerk Facebook. die so genannte Sturm-Wurm-Bande hat das Thema aufgegriffen und verwertet es für eine neue Spam-Kampagne, die weitere Zombie-Rechner für ihr Botnet rekrutieren soll. Nach der Kampagne über eine angeblich geplante Gemeinschaftswährung namens "Amero" für Nordamerika hatten sich die Botnet-Betreiber zwischenzeitlich mal wieder auf Liebesgrußkarten verlegt - offenbar eine Übergangslösung.
Die neue Kampagne nutzt eine auch schon mehrfach eingesetzte Masche, indem sie Medienberichte zu einem Thema aufgreift, das viele interessieren könnte. Die Mails kommen mit einem Betreff wie "F.B.I. wants instant access to Facebook", "FBI Watching Possible Terrorists on Facebook" oder "F.B.I. agents patrol Facebook". Der gewohnt knappe Text verweist auf eine IP-Adresse im Botnet oder eine kürzlich zu diesem Zweck registrierte Domain.
Unter dem Titel "FBI vs. Facebook" zeigt der Mini-Web-Server, der auf den Botnet-Rechnern läuft eine Seite mit einem Bild an, das ein FBI- und ein Facebook-Emblem zeigt. Der Text darunter fordert zum Download auf und verweist wie das Bild auf eine etwa 90 KB große Datei namens "fbi_facebook.exe". Dabei handelt es sich um die Sturm-Malware, die den PC in das Sturm-Botnet einreihen soll.
Den bislang üblichen iFrame mit einer PHP-Datei, die Exploit-Code für Sicherheitslücken im Internet Explorer enthält, haben die Programmierer dieses Mal weg gelassen. Die früheren Web-Seiten haben wohl allein dadurch verschiedene Virenscanner Alarm schlagen lassen, noch bevor der Anwender auf einen Download-Link klicken konnte.
Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist noch recht lückenhaft. Offenbar haben die Malware-Programmierer wieder etwas an den Dateien so verändert, dass die bisherigen Erkennungsroutinen nicht anschlagen.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.ZM |
| Avast! | --- |
| AVG | --- |
| A-Squared | --- |
| Bitdefender | Trojan.Peed.JPS |
| CA-AV | Win32/Sintun.FK |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| eSafe | File [100] (suspicious) |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | --- |
| Fortinet | --- |
| G-Data AVK | --- |
| Ikarus | --- |
| Kaspersky | --- |
| McAfee | --- (W32/Nuwar@MM)* |
| Microsoft | --- |
| Nod32 | Win32/Nuwar.DG worm (variant) |
| Norman | --- |
| Panda | suspicious file |
| QuickHeal | --- |
| Rising AV | --- |
| Sophos | Mal/Dorf-O |
| Spybot S&D | --- |
| Sunbelt | --- |
| Symantec | --- (Trojan.Peacomm.D)* |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Worm.Zhelatin.ZM |
* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test, Stand: 29.07.2008, 13 Uhr
Quelle: AV-Test, Stand: 29.07.2008, 13 Uhr
