56974

Neue Sturm-Wurm-Kampagne zum Valentinstag (Update)

12.02.2008 | 12:58 Uhr |

Die Sturm-Wurm-Bande hat sich offenbar etwas Neues ausgedacht, denn zunächst hat kein einziger Virenscanner die neuen Schädlingsvarianten erkannt. An den neuen Bildern auf den Botnet-Websites kann es ja kaum liegen.

Nach dem viel zu frühen Start ihrer Valentinstagkampagne Mitte Januar hat die so genannte Sturm-Wurm-Bande kurz vor dem richtigen Termin eine neue Spam-Kampagne aufgelegt. Dabei sind die Mails im Grunde unverändert geblieben - die in den Mails verknüpften Web-Seiten sind jedoch renoviert worden. Offenbar müssen sich die Programmierer der dort offerierten Malware ein paar Gedanken gemacht haben. Noch einen halben Tag, nachdem bereits Forscher der Antivirus-Hersteller Symantec und Trend Micro in ihren Blogs über die neue Sturm-Wurm-Welle berichtet hatten, hat kein einziger Virenscanner die Schädlinge erkannt.

Die neuen Websites auf den Zombie-Rechnern des Sturm-Botnets zeigen ein zufällig ausgewähltes von acht vorhandenen Bildmotiven zum Valentinstag an. Das Bild ist mit einer Datei namens "valentine.exe" verlinkt. Fünf Sekunden nach dem Aufruf einer solchen Seite wird der Download dieser Datei automatisch gestartet - es erscheint in der Regel ein entsprechender Dialog des Browsers.

Bei dieser EXE-Datei handelt es sich um die neueste Variante der Storm-Malware, eines so genannten Bots - gerne auch als "Sturm-Wurm" bezeichnet. Antivirus-Hersteller haben unterschiedliche Namen für diese Schädlinge: bei McAfee und Trend Micro heißen sie "Nuwar", bei Symantec "Peacomm", Sophos nennt sie "Dorf" und Kaspersky "Zhelatin", um nur ein paar Beispiele zu nennen.

Leider ist heute früh zunächst keiner dieser Namen in den Scan-Ergebnissen aufgetaucht. Kein einziger Virenscanner hat auch nur eine der zahlreichen Dateivarianten erkannt, die das Sturm-Botnet im Takt weniger Minuten neu generiert. Als erster Hersteller hat dann Sophos eine hinreichend allgemein gehaltene Erkennungsroutine entwickelt und ausgeliefert, um alle gesammelten neuen Sturm-Wurm-Varianten als solche zu erkennen.

UPDATE 12:58 Uhr

Heute Mittag ergibt sich ein kaum besseres Bild. Einige Antivirus-Hersteller haben eine recht zuverlässig wirkende Erkennung der aktuellen Sturm-Malware erreicht, die meisten anderen stehen immer noch mit leeren Händen da. Hier der Stand von 12 Uhr mittags:

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.pb

Avast!

---

AVG

---

A-Squared

---

Bitdefender

Trojan.Peed.IWV

ClamAV

---

Command AV

---

Dr Web

Trojan.Packed.357

eSafe

File [100] (suspicious)

eTrust

---

Ewido

---

F-Prot

---

F-Secure

Packed.Win32.Tibs.ic

Fortinet

---

G-Data AVK

Packed.Win32.Tibs.ic

Ikarus

---

Kaspersky

Packed.Win32.Tibs.ic

McAfee

--- (W32/Nuwar@MM)*

Microsoft

---

Nod32

---

Norman

---

Panda

---

QuickHeal

---

Rising AV

---

Sophos

W32/Dorf-AW

Spybot S&D

Smitfraud-C.,,Executable

Sunbelt

---

Symantec

---

Trend Micro

---

VBA32

---

VirusBuster

---

WebWasher

Worm.Zhelatin.pb

Quelle: AV-Test ( www.av-test.de ), Stand: 12.02.08, 12 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

0 Kommentare zu diesem Artikel
56974