192995

Webmail-Wurm spammt in Foren

28.02.2007 | 16:05 Uhr |

Ein neuer Schädling aus der Sturm-Wurm-Familie verbreitet sich über Webmail und fügt legitimen Mails und Foren-Postings Spam hinzu, der Leser auf eine Malware-Website locken soll.

Es ist nur scheinbar ruhig um die "Storm-Worm-Gang" geworden, tatsächlich sind ihre Mitglieder weiterhin sehr aktiv. Sie erdenken immer neue Wege, um ihre Schädlinge unters Volk zu bringen, die dem Aufbau neuer Botnets dienen. Wie wir bereits berichteten, haben sie eine Art Webmail-Wurm kreiert, der die Mail-Funktionen in Web-Portalen wie AOL oder Yahoo ausnutzt.

Eine Analyse von Eric Chien, Virenforscher bei Symantec Security Response, offenbart weitere Funktionen in diesem Schädling. Im Symantec Security Response Blog berichtet Chien über Postings legitimer Nutzer in Web-Foren, die Links auf mehrere verschiedene vorgebliche Grusskarten-Websites enthalten. Ganz normale und an sich harmlose Postings werden ebenso wie über Webmail versandte Mails um diese Links ergänzt.

Wie schon früher erzeugt die Sturm-Wurm-Bande ihre Malware mehrmals pro Stunde immer wieder neu, indem der gleiche Code Server-basiert mit leicht geänderten Parametern neu komprimiert und verschleiert wird. Die vorgeblichen Grusskarten-Websites starten dann beim Aufruf im Browser automatisch den Download der frisch erzeugten Malware.

Wie die nachfolgende Tabelle zeigt, haben verschiedene Antivirus-Hersteller Wege gefunden auch frisch generierte Malware-Varianten zu erkennen. Die für die Tabelle verwendete Malware ist neuer als die überwiegende Zahl der zum Scannen eingesetzten Antivirus-Updates. Die Erfahrung lehrt jedoch, dass die Sturm-Wurm-Gruppe bald ihre Verfahren anpassen und die Download-Server wechseln wird, womit das Katz-und-Maus-Spiel wieder in eine neue Runde gehen dürfte.

Antivirus

Malware-Name

AntiVir

TR/Small.DBY.AU

Avast!

---

AVG

---

Bitdefender

---

ClamAV

Trojan.Proxy-181

Command AV

---

Dr Web

Trojan.Packed.38

eSafe

Trojan/Worm [100] (suspicious)

eTrust

Win32/Difisim.AG

Ewido

---

F-Prot

---

F-Secure

Email-Worm.Win32.Zhelatin.as

Fortinet

W32/Tibs.KR@mm

Ikarus

Email-Worm.Win32.Zhelatin.as

Kaspersky

Email-Worm.Win32.Zhelatin.as

McAfee

--- (Spam-Mespam trojan)*

Microsoft

Win32/Nuwar.gen

Nod32

Win32/Nuwar.gen worm

Norman

---

Panda

---

QuickHeal

Suspicious (warning)

Rising AV

---

Sophos

---

Symantec

Trojan.Mespam

Trend Micro

---

UNA

---

VBA32

Adware.Sahat.14 (suspected)

VirusBuster

---

WebWasher

Trojan.Small.DBY.AU

GData AVK 2007 **

Email-Worm.Win32.Zhelatin.as


Quelle: AV-Test , Stand: 28.02.2007, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
192995