Sturm-Wurm sendet wieder Grußkarten-Mails

Die aktuelle Spam-Kampagne der so genannten Sturm-Wurm-Bande nutzt einmal mehr das Thema Grußkarten-Mails, um die Mail-Empfänger auf die vorbereiteten Websites zu locken. Nach der Kampagne mit Schlagzeilen über FBI-Ermittlungen bei Facebook dürfte die immer wieder gern genommene Grußkarten-Masche nur ein Zwischenspiel bis zur nächsten Welle sein, die sich dann möglicherweise der Olympischen Spiele als Aufhänger bedienen wird.

Die Mails kommen mit einem Betreff wie "Here is your Ecard" und verweisen auf eine von mehreren Domains, deren Namen auf elektronische Grüße hindeutet, die jedoch allesamt erst kürzlich registriert worden sind. Die Websites werden von Rechner des Sturm-Botnets serviert. Sie müssen diesmal ganz ohne Bilder auskommen, lediglich ein kurzer Text weist darauf hin, dass man die vorgebliche Grußkarte herunter laden und ausführen soll.

Drei Sekunden nach dem Laden der Seite startet dann auch automatisch der Download einer Datei namens "postcard.exe", die etwa 92 KB groß ist. Dabei handelt es sich um die Sturm-Malware, die den Rechner in einen fremdgesteuerten Zombie-PC verwandelt und zum Bestandteil des Sturm-Botnets macht.

Wie schon in der letzten Woche verzichten die Botnet-Betreiber darauf die Web-Seiten mit einem iFrame zu versehen, der mit Hilfe verschleierten Javascript-Codes Sicherheitslücken ausnutzen soll. Dieser würde, wie in früheren Kampagnen, den Sturm-Bot ohne Benutzeraktion einschleusen. Diese auch von vielen anderen Schädlingsprogrammierern genutzte Technik wird als "Drive-by Download" bezeichnet.

Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist recht gut, nur kleinere Anbieter haben offenbar noch nicht den richtigen Dreh gefunden, die ständig neu generierten Schädlingsdateien zuverlässig zu erkennen.

Die aktuelle Spam-Kampagne der so genannten Sturm-Wurm-Bande nutzt einmal mehr das Thema Grußkarten-Mails, um die Mail-Empfänger auf die vorbereiteten Websites zu locken. Nach der Kampagne mit Schlagzeilen über FBI-Ermittlungen bei Facebook dürfte die immer wieder gern genommene Grußkarten-Masche nur ein Zwischenspiel bis zur nächsten Welle sein, die sich dann möglicherweise der Olympischen Spiele als Aufhänger bedienen wird.

Die Mails kommen mit einem Betreff wie "Here is your Ecard" und verweisen auf eine von mehreren Domains, deren Namen auf elektronische Grüße hindeutet, die jedoch allesamt erst kürzlich registriert worden sind. Die Websites werden von Rechner des Sturm-Botnets serviert. Sie müssen diesmal ganz ohne Bilder auskommen, lediglich ein kurzer Text weist darauf hin, dass man die vorgebliche Grußkarte herunter laden und ausführen soll.

Drei Sekunden nach dem Laden der Seite startet dann auch automatisch der Download einer Datei namens "postcard.exe", die etwa 92 KB groß ist. Dabei handelt es sich um die Sturm-Malware, die den Rechner in einen fremdgesteuerten Zombie-PC verwandelt und zum Bestandteil des Sturm-Botnets macht.

Wie schon in der letzten Woche verzichten die Botnet-Betreiber darauf die Web-Seiten mit einem iFrame zu versehen, der mit Hilfe verschleierten Javascript-Codes Sicherheitslücken ausnutzen soll. Dieser würde, wie in früheren Kampagnen, den Sturm-Bot ohne Benutzeraktion einschleusen. Diese auch von vielen anderen Schädlingsprogrammierern genutzte Technik wird als "Drive-by Download" bezeichnet.

Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist recht gut, nur kleinere Anbieter haben offenbar noch nicht den richtigen Dreh gefunden, die ständig neu generierten Schädlingsdateien zuverlässig zu erkennen.

Quelle: AV-Test, Stand: 05.08.08, 14:00 Uhr