Wir haben dich gefilmt
Spammer-Botnet ködert mit Nacktvideos
Das nach Angaben eines Sicherheitsunternehmens aktivste Spam-Botnet lockt potenzielle neue Opfer mit Mails, in behauptet wird, es gebe ein Nacktvideo des Angeschriebenen.
Meldungen darüber, welches Botnet nun gerade das größte oder gefährlichste sei, gibt es immer wieder - und es werden immer wieder mal neue Namen genannt. Das Sicherheitsunternehmen Marshall berichtet über das Botnet "Srizbi", das derzeit den meisten Spam verbreiten soll. Nach Angaben von Marshall ist es für etwa 45 Prozent der zurzeit beobachteten Spam-Mails verantwortlich. Es rekrutiert neue Opfer mit Hilfe von Mails, die den Empfänger überzeugen sollen, es gebe ein Nacktvideo vom ihm. Ein Link zum Anklicken wird mitgeliefert.
Die Mails kommen mit einem Betreff wie "we caught you naked <name>! check the video". Der Text in der Mail besteht nur aus den Worten "Watch it :)", die mit einem Link zu einer EXE-Datei (video.exe, 74 KB) unterlegt sind. Bei dieser EXE-Datei handelt es sich um ein Trojanisches Pferd, das den Rechner zu einem Teil des Botnets macht und damit zu einer fremdgesteuerten Spam-Schleuder ("Zombie").
Nach Angaben von Marshall ist das Srizbi-Botnet erst in letzter Zeit an Spitze der Spam-Verbreiter vorgestoßen. Noch Ende 2007 kamen lediglich 20 Prozent der von Marshall abgefangenen Spam-Mails aus diesem Botnet, inzwischen sind es 45 Prozent. Dabei haben einzelne Zombie-PCs eine Spam-Frequenz von 8000 Mails pro Stunde erreicht. Die Anzahl der Zombies des Srizbi-Botnets schätzt das Sicherheitsunternehmen SecureWorks auf derzeit mehr als 300.000.
Erkennung der Botnet-Malware (video.exe) durch Antivirusprogramme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Crypt.XPACK.Gen |
| Avast! | --- |
| AVG | Downloader.Zlob.12.AH (Trojan horse) |
| A-Squared | --- |
| Bitdefender | --- |
| CA-AV | --- |
| ClamAV | --- |
| Command AV | --- |
| Dr Web | --- |
| eSafe | File [100] (suspicious) |
| Ewido | --- |
| F-Prot | --- |
| F-Secure | Trojan.Win32.Agent.kli |
| Fortinet | suspicious |
| G-Data AVK | Trojan.Win32.Agent.kli |
| Ikarus | Trojan.Win32.Revelation |
| Kaspersky | Trojan.Win32.Agent.kli |
| McAfee | Tibs-Packed trojan |
| Microsoft | TrojanDropper:Win32/Nuwar.gen!lds |
| Nod32 | --- |
| Norman | --- |
| Panda | --- |
| QuickHeal | Suspicious (warning) |
| Rising AV | --- |
| Sophos | Mal/EncPk-CG |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | --- |
| Symantec | --- |
| Trend Micro | --- |
| VBA32 | Trojan.Win32.Revelation |
| VirusBuster | Trojan.DL.Exchanger.G |
| WebWasher | Trojan.Crypt.XPACK.Gen |
Quelle: AV-Test (http://www.av-test.de), Stand: 21.04.08, 14 Uhr
