225068

Terrormeldungen mit Malware-Link

17.03.2009 | 16:14 Uhr |

Die neueste Spam-Kampagne zur Verbreitung des Waledac-Wurms setzt auf eine bewährte Masche. Es werden vorgebliche Sensationsmeldungen verschickt, die potenzielle Opfer auf eine präparierte Website locken sollen.

Mit ihrer aktuellen Kampagne nutzt die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Bande einmal mehr Nachrichten über vorgebliche Ereignisse, um den Wurm unters Volk zu bringen. Waledac gilt als Nachfolger des seit dem Sommer 2008 nicht mehr gesichteten Sturm-Wurms. Die versandten Spam-Mails sollen potenzielle Opfer auf eine vorbereitete Website locken, auf der sie vorgeblich mehr über ein Bombenattentat in ihrer Stadt erfahren sollen.

Die Mails kommen mit einem Betreff wie "Take Care!", "Are you and your friends in good health?", "At least 18 killed in your city" oder auch "I hope you are not in the city now". Sie enthalten einen Link zu einer Website, die über diverse Domains erreichbar ist. Die Domains sind die gleichen wie bei der letzten Kampagne, als es um Gutscheine (Coupons) ging, einige davon sind allerdings nicht mehr erreichbar.

Die Website enthält so genannten Geo-Location-Code, der versucht aus der IP-Adresse des Besuchers auf die Stadt zu schließen, in der er sich befindet. Den Namen der ermittelten Stadt fügt das Script in den Titel der Seite sowie in den Text ein. Die Seite imitiert eine Meldung einer bekannten Nachrichtenagentur und enthält im Titel auch das automatisch eingefügte Land, aus dem die IP-Adresse stammt. Der Titel lautet zum Beispiel "Reuters-Germany: Terror attack in Berlin".

0 Kommentare zu diesem Artikel
225068