90030

Stürmische Valentinsgrüße mit Malware

10.02.2009 | 15:55 Uhr |

Der Wurm Waledac, der als Nachfolger des Sturm-Wurms gilt, versucht erneut potenzielle Opfer mit Grußkarten zum Valentinstag zu ködern. Diesmal ist sogar eine vorgebliche Software zum Eigenbau von Grußkarten im Angebot.

Die neueste Spam-Kampagne der Sturm-Wurm-Bande nutzt erneut den bevorstehenden Valentinstag als Aufhänger und Köder, um potenzielle Opfer auf die Websites ihres Fast-Flux-Botnets zu locken. Dort bieten sie ein vorgebliches "Valentine Devkit" an, mit dem man selbst Grußkarten erstellen können soll. Tatsächlich handelt es sich dabei um Malware, die ein betrügerisches Antivirusprogramm installiert.

Die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Wurm-Bande hat mit der neuen Spam-Kampagne zum Valentinstag (14. Februar) offenbar die Zweckbestimmung des Schädlings geändert oder zumindest variiert. Bislang diente der Aufbau des Botnets vorwiegend der Verbreitung von Medikamenten-Spam. Wie Patrick Fitzgerald vom Antivirushersteller Symantec im Blog des Unternehmens berichtet, installiert die über die Waledac-Websites verbreitete Malware nunmehr ein betrügerisches Antivirusprogramm namens "MS AntiSpyware 2009".

Die Spam-Mails kommen mit einen Betreff wie "Great variety of little helpers for your health", "Canadian chemist – invest in your happy future", "Improvement to your xxxlife is one click away" oder "Live life to the fullest". Die Mails enthalten Links zu einer neu gestalteten Website bekannter Machart.

Die aktuelle, auf zahlreichen Domains beheimatete Waledac-Website zeigt ein Bild mit zwei Hundewelpen. Der Text fordert die Besucher dazu auf an den Valentinstag zu denken und bietet ein Programm namens "Valentine Devkit" an, das vorgeblich dem Erstellen von Grußkarten dienen soll. Verdeckter Script-Code zum heimlichen Einschleusen von Malware ist in den Seiten bislang nicht zu finden - das kann sich jedoch jederzeit ändern.

Die zum Download angebotene Malware wird in regelmäßigen Abständen leicht verändert, um Antivirusprogramme zu täuschen. Diese Taktik scheint nach wie vor recht gut zu funktionieren, denn die Erkennung der aktuellen Waledac-Malware durch Virenscanner ist zurzeit sehr dürftig ( Update: auch einen Tag später bestehen noch große Lücken).

Antivirus

Malware-Name

AntiVir

Worm/Zhelatin.V

Avast!

Win32:Trojan-gen {Other}

AVG

SHeur2.PVW (Trojan horse)

Bitdefender

Trojan.Waledac.AD

CA-AV

---

ClamAV

---

Dr Web

---

Fortinet

W32/PackWaledac.A

F-Prot

---

F-Secure

---

G-Data AVK 2008

Win32:Trojan-gen {Other}

G-Data AVK 2009

Trojan.Waledac.AD

Ikarus

Trojan.Win32.Waledac

K7 Computing

---

Kaspersky

---

McAfee

--- (W32/Waledac.gen.e)*

McAfee Artemis

Generic!Artemis (trojan or variant)

Microsoft

Trojan:Win32/Waledac.A

Nod32

Win32/Kryptik.GU trojan (variant)

Norman

---

Panda

---

Panda (Online)

suspicious

QuickHeal

---

Rising AV

---

SecureWeb-GW

Worm.Zhelatin.V

Sophos

Mal/WaledPak-A

Spybot S&D

---

Sunbelt

---

Symantec

--- (W32.Waledac)*

Trend Micro

---

VBA32

---

VirusBuster

Trojan.Waledac!Pac.5

* noch nicht in offiziellen Virensignaturen enthalten
Quelle: AV-Test http://www.av-test.de , Stand: 11.02.09, 16 Uhr (Update)

0 Kommentare zu diesem Artikel
90030