33666

Neuer Sturm-Wurm setzt auf gehackte Websites

06.05.2008 | 16:11 Uhr |

Nach dem Abgesang auf den Sturm-Wurm melden sich die Stürmer mit geänderter Taktik zurück. Sie verseuchen legitime Websites mit Iframes, die mittels Javascript Sicherheitslücken ausnutzen sollen.

Das bereits tot gesagte Sturm-Botnet ist wieder auf der Suche nach neuen Opfern. Die Web-Seiten mit dem "StormCodec" sind verschwunden. Bislang sind noch keine neuen Spam-Mails aufgetaucht - vielmehr setzt sie Sturm-Wurm-Bande diesmal auf gehackte Websites. Legitime Websites werden mit Iframes gespickt, die auf eine neu registrierte CN-Domain (China) zeigen. Die Zombie-PCs des Sturm-Botnets liefern dann letztlich die Sturm-Malware aus, die anfällige Rechner zu einem Teil des Botnets macht.

Der Script-Code in dem eingefügten Iframe überprüft zunächst, welchen Browser der Besucher benutzt. Besucher mit Firefox, Opera und Co. erhalten eine leere Seite. Wer hingegen mit einer anfälligen Version des Internet Explorers auf eine der manipulierten Seiten gerät, wird mit Exploit-Code angegriffen. Dieser installiert zunächst einen Downloader, der dann die eigentliche Sturm-Malware nachlädt.

Diese wird als "libor.exe" im Windows-Verzeichnis installiert und in den Run-Schlüssel der Registry eingetragen. So wird der Schädling bei jedem Windows-Start geladen. Er verbindet sich dann mit dem P2P-Botnet und erhält darüber Befehle und Daten. Der PC dient dann als Spam-Schleuder oder liefert die Sturm-Malware an neue Opfer aus.

Die Masche mit den Iframes ist nicht neu - auch nicht für den Sturm-Wurm. So gab es zum Beispiel bereits Ende letzten Jahres eine ähnliche Sturm-Wurm-Kampagne. Einige der damals verseuchten Websites sind immer noch in diesem Zustand, auch wenn der eingefügte Iframe nicht mehr funktioniert. Zum Teil sind diese Websites in den letzten Tagen erneut manipuliert worden, sodass alte und neue Sturm-Iframes in den Seiten stecken.

Derzeit sind die neu registrierten Domains bereits nicht mehr erreichbar, eventuell nur vorübergehend. Falls die Sturm-Wurm-Bande erneut die Taktik ändert und wieder auf Spam-Mails mit Social Engineering setzen will, könnte der bevor stehende Muttertag am 11. Mai als Aufhänger für Grußkarten-Spam dienen.

Antivirus

Malware-Name

AntiVir

---

Avast!

---

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

Trojan.Peed.JHB

CA-AV

---

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.447

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

---

F-Secure

Trojan-Downloader.Win32.Cntr.v

Fortinet

suspicious

G-Data AVK

Trojan-Downloader.Win32.Cntr.v

Ikarus

Trojan-Downloader.Win32.Cntr.v

Kaspersky

Trojan-Downloader.Win32.Cntr.v

McAfee

W32/Nuwar@MM trojan

Microsoft

---

Nod32

Win32/Nuwar.CR worm (variant)

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

---

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

---

Quelle: AV-Test ( www.av-test.de ), Stand 6.5.2008, 15 Uhr

0 Kommentare zu diesem Artikel
33666