Sturm in den April
Neue Sturm-Wurm-Mails als Aprilscherze
Die Sturm-Wurm-Bande hat eine neue Mail-Kampagne gestartet, um ihr Botnet wieder aufzufrischen. Dieses Mal greifen sie das nahe liegende Thema Aprilscherze auf, um Mail-Empfänger zum Klicken zu verleiten.
Am Vorabend des 1. April sind die ersten Mails einer neuen Welle von Malware-Spam der Sturm-Wurm-Bande auf den Weg zu neuen Opfern geschickt worden. Die Botnet-Betreiber haben die Web-Seite für die Downloads neu gestaltet, das Thema gewechselt und auch eine neue Kombination von EXE-Packern eingesetzt, um Antivirus-Programme auszutricksen. Der 1. April und die Tradition andere an diesem Tag in den April zu schicken müssen als Lockmittel genügen. Die letzte Kampagne Anfang März benutzte vorgebliche Grußkarten.
Die neuen Mails aus dem Sturm-Botnet kommen mit einem Betreff wie "All Fools' Day", "Doh! April's Fool.", "Gotcha! April Fool!", "Happy April Fools Day!", "I am a Fool for your Love", "Join the Laugh-A-Lot!" oder auch "Surprise! The joke's on you.", um nur ein paar Beispiele zu nennen. Das Internet Storm Center hat eine umfassendere Betreffliste zusammen gestellt.
Die Mails enthalten neben einem sehr kurzen Text wie üblich einen Link zu einer von vielen, ständig wechselnden IP-Adressen aus dem Sturm-Botnet. Auf den Zombie-PCs des Botnets liegt eine Web-Seite, die die Sturm-Malware gleich in drei Varianten bereit hält.
Wer das Bild anklickt, erhält eine Datei namens "kickme.exe", der Text-Link "click here" ist mit einer "foolsday.exe" verknüpft und wer fünf Sekunden tatenlos wartet, bekommt automatisch die Datei "funny.exe". Alle drei sind gleich groß, etwa 136 KB, können sich jedoch binär unterscheiden. Alle paar Minuten werden Server-seitig neue Dateivarianten generiert.
Die Erkennung der Schädlingsvarianten durch Antivirus-Software ist derzeit noch dürftig. Einige Virenscanner können mit generischen Signaturen für exotische EXE-Packer punkten, diese greifen jedoch nicht in jedem Fall.
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XPACK.Gen |
| Avast! | --- |
| AVG | I-Worm/Nuwar.R |
| A-Squared | --- |
| Bitdefender | Trojan.Crypt.AP |
| ClamAV | Trojan.Crypted-16 |
| Command AV | --- |
| Dr Web | Trojan.Packed.419 |
| eSafe | File [100] (suspicious) |
| CA-AV (eTrust) | --- |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Email-Worm.Win32.Zhelatin.wt |
| Fortinet | suspicious |
| G-Data AVK | Email-Worm.Win32.Zhelatin.wt |
| Ikarus | VirTool.Win32.LDE |
| Kaspersky | Email-Worm.Win32.Zhelatin.wt |
| McAfee | --- (W32/Nuwar@MM)* |
| Microsoft | --- |
| Nod32 | Win32/Nuwar.CG worm (variant) |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Troj/Dorf-BA |
| Spybot S&D | Smitfraud-C.,,Executable |
| Sunbelt | --- |
| Symantec | --- (Trojan.Peacomm)* |
| Trend Micro | --- |
| VBA32 | --- |
| VirusBuster | --- |
| WebWasher | Trojan.Crypt.XPACK.Gen |
Quelle: AV-Test, Stand: 01.04.08, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
* noch nicht in offiziellen Virensignaturen enthalten
