148874

Rabatt-Coupons mit Malware

24.02.2009 | 16:19 Uhr |

Die neueste Kampagne zur Verbreitung des Waledac-Wurms ködert potenzielle Opfer mit vorgeblichen Coupons für Sonderangebote und Rabatte bei Online-Shops. Doch mehr als Malware gibt es wie immer nicht zu holen.

Die seit Dezember bekannte Wurm-Familie "Waledac" gilt als Nachfolger des bis in den Spätsommer 2008 notorischen Sturm-Wurms. Die Methoden der dahinter steckenden Sturm-Bande sind denn auch recht ähnlich geblieben. Alle paar Wochen gibt es eine neue Spam-Kampagne mit einem anderen Thema als Köder. Die neueste Kampagne nutzt die aktuelle Wirtschaftskrise und gibt vor mit Coupons für Sonderrabatte in Online-Shops bei deren Bewältigung helfen zu wollen.

Die auf mehreren Dutzend zum Teil erst vor wenigen Tagen registrierten Domains angesiedelte Website firmiert unter dem Titel "the Couponizer". Es existiert tatsächlich eine legitime Website dieses Namens und diese ist ganz offensichtlich das Vorbild für die Waledac-Website. Auf letzterer liefert eine zentrale Grafik die Anleitung, wie mit den vorgeblichen Coupons zu verfahren sei: anklicken, drucken, ausschneiden, sparen.

Alle Grafiken auf der Seite sind mit Links unterlegt und die zeigen auf eine Programmdatei mit Namen wie zum Beispiel "coupon.exe", "couponlist.exe", "discounts.exe", "print.exe", "saleslist.exe" oder auch "save.exe". Dabei handelt es sich um in unregelmäßigen Abständen gegen neu generierte Fassungen ausgetauschte Varianten der Waledac-Malware.

Der Quelltext der Seite offenbart einen versteckten Iframe, der weiteren Code von einer anderen Domain laden kann. Die in dem Spam-Mails verlinkten PHP-Seiten enthalten zudem so genannten Geo-Location-Code, sodass sie den Text auf der Seite entsprechend anpassen können. Statt einfach nur "Exclusive sale coupons and deals at over 100 000 stores." heißt es dann zum Beispiel "Exclusive sale coupons and deals at over 1 000 stores in Munich, Germany."

Die Erkennung der Waledac-Bots durch Antivirusprogramme ist recht lückenhaft. Kaum ein Hersteller hat es bislang geschafft eine generische Erkennung zu entwickeln, die halbwegs zuverlässig auch neue Varianten erfasst.

Antivirus

Malware-Name 1

Malware-Name 2

AntiVir

TR/Dropper.Gen

---

Avast!

---

---

AVG

Injector.CD (Trojan horse)

I-Worm/Nuwar.AM

Bitdefender

Trojan.Waledac.Gen.1

---

CA-AV

--- (Win32/Waledac!generic)*

---

ClamAV

---

---

Dr Web

---

---

Fortinet

W32/Waledac.E!worm

W32/PackWaledac.A

F-Prot

---

---

F-Secure

---

Suspicious:W32/Malware!Gemini

G-Data AVK 2008

---

---

G-Data AVK 2009

Trojan.Waledac.Gen.1

---

Ikarus

---

---

ISS VPS

---

---

K7 Computing

---

---

Kaspersky

---

---

McAfee

W32/Waledac.gen.g

---

McAfee Artemis

W32/Waledac.gen.g

---

Microsoft

VirTool:Win32/Obfuscator.ES

Trojan:Win32/Waledac.C

Nod32

Win32/Waledac.GK trojan

Win32/Waledac.GL trojan

Norman

---

---

Panda

---

suspicious

Panda (Online)

---

suspicious

QuickHeal

---

---

Rising AV

---

---

SecureWeb-GW

Trojan.Dropper.Gen

Trojan.LooksLike.Backdoor.Hupigon

Sophos

Mal/WaledPak-A

Mal/WaledPak-B

Spybot S&D

---

---

Sunbelt

---

---

Symantec

---

---

Trend Micro

---

---

VBA32

---

---

VirusBuster

Trojan.Waledac.Gen!Pac.6

Trojan.Waledac.Gen!Pac.7

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test , Stand: 24.02.09, 12 Uhr

0 Kommentare zu diesem Artikel
148874