171204

Sturm-Wurm sendet wieder Grußkarten-Mails

05.08.2008 | 15:51 Uhr |

Die Sturm-Wurm-Bande verschickt wieder Grüße aus ihrem Botnet. Die Postkarten-Mails sollen neue Rechner für das Botnet rekrutieren, bis den Malware-Spammern eine neue Masche einfällt.

Die aktuelle Spam-Kampagne der so genannten Sturm-Wurm-Bande nutzt einmal mehr das Thema Grußkarten-Mails, um die Mail-Empfänger auf die vorbereiteten Websites zu locken. Nach der Kampagne mit Schlagzeilen über FBI-Ermittlungen bei Facebook dürfte die immer wieder gern genommene Grußkarten-Masche nur ein Zwischenspiel bis zur nächsten Welle sein, die sich dann möglicherweise der Olympischen Spiele als Aufhänger bedienen wird.

Die Mails kommen mit einem Betreff wie "Here is your Ecard" und verweisen auf eine von mehreren Domains, deren Namen auf elektronische Grüße hindeutet, die jedoch allesamt erst kürzlich registriert worden sind. Die Websites werden von Rechner des Sturm-Botnets serviert. Sie müssen diesmal ganz ohne Bilder auskommen, lediglich ein kurzer Text weist darauf hin, dass man die vorgebliche Grußkarte herunter laden und ausführen soll.

Drei Sekunden nach dem Laden der Seite startet dann auch automatisch der Download einer Datei namens "postcard.exe", die etwa 92 KB groß ist. Dabei handelt es sich um die Sturm-Malware, die den Rechner in einen fremdgesteuerten Zombie-PC verwandelt und zum Bestandteil des Sturm-Botnets macht.

Wie schon in der letzten Woche verzichten die Botnet-Betreiber darauf die Web-Seiten mit einem iFrame zu versehen, der mit Hilfe verschleierten Javascript-Codes Sicherheitslücken ausnutzen soll. Dieser würde, wie in früheren Kampagnen, den Sturm-Bot ohne Benutzeraktion einschleusen. Diese auch von vielen anderen Schädlingsprogrammierern genutzte Technik wird als "Drive-by Download" bezeichnet.

Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist recht gut, nur kleinere Anbieter haben offenbar noch nicht den richtigen Dreh gefunden, die ständig neu generierten Schädlingsdateien zuverlässig zu erkennen.

Die aktuelle Spam-Kampagne der so genannten Sturm-Wurm-Bande nutzt einmal mehr das Thema Grußkarten-Mails, um die Mail-Empfänger auf die vorbereiteten Websites zu locken. Nach der Kampagne mit Schlagzeilen über FBI-Ermittlungen bei Facebook dürfte die immer wieder gern genommene Grußkarten-Masche nur ein Zwischenspiel bis zur nächsten Welle sein, die sich dann möglicherweise der Olympischen Spiele als Aufhänger bedienen wird.

Die Mails kommen mit einem Betreff wie "Here is your Ecard" und verweisen auf eine von mehreren Domains, deren Namen auf elektronische Grüße hindeutet, die jedoch allesamt erst kürzlich registriert worden sind. Die Websites werden von Rechner des Sturm-Botnets serviert. Sie müssen diesmal ganz ohne Bilder auskommen, lediglich ein kurzer Text weist darauf hin, dass man die vorgebliche Grußkarte herunter laden und ausführen soll.

Drei Sekunden nach dem Laden der Seite startet dann auch automatisch der Download einer Datei namens "postcard.exe", die etwa 92 KB groß ist. Dabei handelt es sich um die Sturm-Malware, die den Rechner in einen fremdgesteuerten Zombie-PC verwandelt und zum Bestandteil des Sturm-Botnets macht.

Wie schon in der letzten Woche verzichten die Botnet-Betreiber darauf die Web-Seiten mit einem iFrame zu versehen, der mit Hilfe verschleierten Javascript-Codes Sicherheitslücken ausnutzen soll. Dieser würde, wie in früheren Kampagnen, den Sturm-Bot ohne Benutzeraktion einschleusen. Diese auch von vielen anderen Schädlingsprogrammierern genutzte Technik wird als "Drive-by Download" bezeichnet.

Die Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme ist recht gut, nur kleinere Anbieter haben offenbar noch nicht den richtigen Dreh gefunden, die ständig neu generierten Schädlingsdateien zuverlässig zu erkennen.

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.ZM

Avast!

Win32:Zhelatin-DJZ [Wrm]

AVG

I-Worm/Nuwar.W

A-Squared

---

Bitdefender

Trojan.Peed.JPS

CA-AV

Win32/Sintun.FK

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.581

eSafe

File [100] (suspicious)

Ewido

---

F-Prot

W32/Zhelatin.P.gen!Eldorado

F-Secure

Email-Worm.Win32.Zhelatin.afy

Fortinet

W32/PackTibs.M

G-Data AVK

Email-Worm.Win32.Zhelatin.afy

Ikarus

---

Kaspersky

Email-Worm.Win32.Zhelatin.afy

McAfee

W32/Nuwar@MM

Microsoft

Backdoor:Win32/Nuwar.E

Nod32

Win32/Nuwar.DG worm (variant)

Norman

---

Panda

suspicious file

QuickHeal

Win32.Email-Worm.Zhelatin.afg.5

Rising AV

---

Sophos

Mal/Dorf-O

Spybot S&D

---

Sunbelt

---

Symantec

Trojan.Peacomm.D

Trend Micro

TROJ_NUWAR.DDJ

VBA32

---

VirusBuster

Worm.DR.Zhelatin.Gen!Pac.12

WebWasher

Worm.Zhelatin.ZM

Quelle: AV-Test , Stand: 05.08.08, 14:00 Uhr

0 Kommentare zu diesem Artikel
171204