14012

Stürmische Grüße mit kichernden Katzen

22.10.2007 | 15:55 Uhr |

Die Sturm-Wurm-Bande besinnt sich zwischendurch offenbar immer wieder mal auf ihre bislang erfolgreichste Masche und versendet vorgebliche Grußkarten-Mails. Für die Motive bedienen sie sich auf regulären Grußkarten-Websites.

Die Erfolgsgeschichte des Sturm-Botnets neigt sich nach Einschätzung von Sicherheitsforschern wie Brandon Enright von der Universität Kalifornien dem Ende zu . Während die Masse der fremdgesteuerten Zombie-PCs Aktien-Spam verbreitet oder eine vorgebliche P2P-Software propagiert , werden immer wieder auch falsche Grußkarten-Mails eingesetzt. Damit hatte die Sturm-Wurm-Bande im Sommer ihre größten Erfolge erzielt.

Die Mails kommen zurzeit mit einem Betreff wie "Here's your ecard!", "Your ecard is waiting!" oder "Your ecard greeting is available." sowie dem Text "This Psycho Cat Card has been sent to you." in die Mailbox. Der enthaltene Link zeigt wie üblich auf eine IP-Adresse. Die recht kurzlebigen Mini-Web-Server auf den Zombie-PCs des Botnets liefern eine Seite mit einer Flash-Animation aus, die eine kichernde Katze zeigt. Diese Flash-Datei haben die Botnet-Betreiber von der echten Grußkarten-Website "SuperLaugh.com" kopiert.

Die Web-Seiten enthalten mehrfach verschleierten Javascript-Code, der Sicherheitslücken im Browser ausnutzen soll, um Malware einzuschleusen. Außerdem wird eine Datei namens "superlaugh.exe" zum Download angeboten, die den Rechner zu einem Teil des Sturm-Wurm-Botnets macht, falls sie ausgeführt wird.

Unter der Motorhaube habe die Malware-Programmierer einige Veränderungen eingeführt. Wie Rachit Mathur von McAfee im Blog der AVERT Labs berichtet, haben sie die Dateinamen geändert, mit denen sich die Botnet-Malware im System einnistet. Bislang hießen die Dateien "spooldr.exe", "spooldr.sys", und "spooldr.ini". Anfang dieses Jahres hatte es noch mit "wincom32.sys" und "game0.exe" begonnen.

Neuere Exemplare der Sturm-Malware verwenden nun die Dateinamen "noskrnl.exe", "noskrnl.sys" und "noskrnl.config". Dadurch besteht für diejenigen, die sich selbst auf die Jagd nach verdächtigen Dateien auf ihrem Rechner machen, die Gefahr einer Verwechslung mit der wichtigen Systemdatei "ntoskrnl.exe". Neu ist außerdem, dass der Schädling versucht, sich auf Disketten zu kopieren.

0 Kommentare zu diesem Artikel
14012