128306

Neue Sturm-Wurm-Mails als Aprilscherze

01.04.2008 | 10:55 Uhr |

Die Sturm-Wurm-Bande hat eine neue Mail-Kampagne gestartet, um ihr Botnet wieder aufzufrischen. Dieses Mal greifen sie das nahe liegende Thema Aprilscherze auf, um Mail-Empfänger zum Klicken zu verleiten.

Am Vorabend des 1. April sind die ersten Mails einer neuen Welle von Malware-Spam der Sturm-Wurm-Bande auf den Weg zu neuen Opfern geschickt worden. Die Botnet-Betreiber haben die Web-Seite für die Downloads neu gestaltet, das Thema gewechselt und auch eine neue Kombination von EXE-Packern eingesetzt, um Antivirus-Programme auszutricksen. Der 1. April und die Tradition andere an diesem Tag in den April zu schicken müssen als Lockmittel genügen. Die letzte Kampagne Anfang März benutzte vorgebliche Grußkarten .

Die neuen Mails aus dem Sturm-Botnet kommen mit einem Betreff wie "All Fools' Day", "Doh! April's Fool.", "Gotcha! April Fool!", "Happy April Fools Day!", "I am a Fool for your Love", "Join the Laugh-A-Lot!" oder auch "Surprise! The joke's on you.", um nur ein paar Beispiele zu nennen. Das Internet Storm Center hat eine umfassendere Betreffliste zusammen gestellt .

Die Mails enthalten neben einem sehr kurzen Text wie üblich einen Link zu einer von vielen, ständig wechselnden IP-Adressen aus dem Sturm-Botnet. Auf den Zombie-PCs des Botnets liegt eine Web-Seite, die die Sturm-Malware gleich in drei Varianten bereit hält.

Wer das Bild anklickt, erhält eine Datei namens "kickme.exe", der Text-Link "click here" ist mit einer "foolsday.exe" verknüpft und wer fünf Sekunden tatenlos wartet, bekommt automatisch die Datei "funny.exe". Alle drei sind gleich groß, etwa 136 KB, können sich jedoch binär unterscheiden. Alle paar Minuten werden Server-seitig neue Dateivarianten generiert.

Die Erkennung der Schädlingsvarianten durch Antivirus-Software ist derzeit noch dürftig. Einige Virenscanner können mit generischen Signaturen für exotische EXE-Packer punkten, diese greifen jedoch nicht in jedem Fall.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XPACK.Gen

Avast!

---

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

Trojan.Crypt.AP

ClamAV

Trojan.Crypted-16

Command AV

---

Dr Web

Trojan.Packed.419

eSafe

File [100] (suspicious)

CA-AV (eTrust)

---

Ewido

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.wt

Fortinet

suspicious

G-Data AVK

Email-Worm.Win32.Zhelatin.wt

Ikarus

VirTool.Win32.LDE

Kaspersky

Email-Worm.Win32.Zhelatin.wt

McAfee

--- (W32/Nuwar@MM)*

Microsoft

---

Nod32

Win32/Nuwar.CG worm (variant)

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

Troj/Dorf-BA

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

--- (Trojan.Peacomm)*

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Trojan.Crypt.XPACK.Gen

Quelle: AV-Test, Stand: 01.04.08, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
128306