112644

Sturm-Wurm setzt auf vorgebliche Video-Codecs

09.04.2008 | 16:09 Uhr |

Die Sturm-Wurm-Bande hat schon wieder ihre Taktik geändert. Zwar versenden sie immer noch Liebesbriefe per Mail, die verlinkten Websites offerieren jedoch nunmehr einen vorgeblich nötigen Video-Codec.

Vorgebliche Video-Codecs sind offenbar der Renner bei der Verbreitung von Malware. Bereits seit Jahren setzen die Schädlinge der "Zlob"-Familie auf diese Taktik, als "DNSchanger" gibt es sogar Varianten für Mac OS. Auch die Sturm-Wurm-Bande setzt seit gestern Abend nicht zum ersten Mal auf Codecs. Sie bieten jetzt auf den Web-Seiten ihres Botnets einen "Storm Codec" an, den Besucher der Seiten angeblich benötigen, um ein Video anschauen zu können, das im YouTube-Stil präsentiert wird.

Die Malware-Mails kommen weiterhin als sehr kurze Liebesbriefe mit einem Betreff wie "Crazy in love with you" und einem Link auf eine feste Domain. Das Fast-Flux-Botnet der Sturm-Wurm-Bande leitet den Aufruf der Website an einen geraden verfügbaren Zombie-PC weiter. Dieser präsentiert die Seite mit dem vermeintlichen Video und bietet den Storm Codec als "StormCodec.exe" und "StormCodec8.exe" zum Download an.

Auffällig ist, dass diese 139.776 Bytes großen Malware-Dateien seit etlichen Stunden unverändert geblieben sind. Bislang wurden meist alle paar Minuten neue Dateivarianten generiert. Die Erkennung der Dateien durch Antivirus-Software ist folglich so gut wie selten beim Sturm-Wurm.

Antivirus

Malware-Name

AntiVir

TR/Crypt.XPACK.Gen

Avast!

Win32:Zhelatin-CNF [Wrm]

AVG

I-Worm/Nuwar.R

A-Squared

---

Bitdefender

Trojan.Crypt.AP

ClamAV

Trojan.Crypted-16

Command AV

W32/Storm.gen2 (variant)

Dr Web

Trojan.Packed.419

CA-AV

Win32/Sintun!generic.2

F-Prot

W32/Storm.gen2

F-Secure

Email-Worm.Win32.Zhelatin.wt

Fortinet

W32/Dorf.BA@mm

G-Data AVK

Email-Worm.Win32.Zhelatin.wt

Ikarus

Email-Worm.Win32.Zhelatin.wt

Kaspersky

Email-Worm.Win32.Zhelatin.wt

McAfee

W32/Nuwar@MM

Microsoft

TrojanDropper:Win32/Nuwar.gen!C

Nod32

Win32/Nuwar.CG worm (variant)

Norman

Tibs.gen201

Panda

---

QuickHeal

Win32.Email-Worm.Zhelatin.wt.2

Rising AV

Worm.Mail.Win32.Zhelatin.wrz

Sophos

Troj/Dorf-BA

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

Trojan.Peacomm

Trend Micro

WORM_NUWAR.JQ

VBA32

---

VirusBuster

Worm.Zhelatin.Gen!Pac.6

WebWasher

Trojan.Crypt.XPACK.Gen

Quelle: AV-Test ( http://www.av-test.de ), Stand: 09.04.08, 14 Uhr

0 Kommentare zu diesem Artikel
112644