Massenhaft verbreitete Spam-Mails ködern potenzielle Opfer mit vorgeblichen Porno-Videos. Sie verbreiten neue Varianten eines Rootkits, das durch Bluescreens nach einem Windows-Update bekannt geworden ist.

Eine alte Regel, die nicht nur Malware-Spammer kennen, besagt, dass nackte Tatsachen immer ziehen. So folgen denn die Verbreiter des Alureon-/TDSS-Rootkits nur konsequent dieser Regel, wenn sie den Empfängern ihrer aktuellen Spam-Mails harte Porno-Videos versprechen, um ihre Schädlinge an den Mann zu bringen.
Im Betreff wie auch im Text der zurzeit verbreiteten Spam-Mails wimmelt es nur so von einschlägigen Fachbegriffen, die Pornokonsumenten bestens bekannt sein dürften. Heimlich im Büro gefilmte Kopulationsszenen gehören dabei noch zu den harmloseren Themen. Die erste Spam-Welle enthält einen 82 KB großen Anhang namens "watch_video.zip", in dem eine gleichnamige EXE-Datei steckt.
Nachfolgende Spam-Wellen kommen ohne Anhang und enthalten stattdessen einen eher kurzlebigen Link auf eine ZIP-Datei, zunächst "video.zip", später "porn.zip" - meist auf Sub-Domains von 110mb.com. Allen enthaltenen EXE-Dateien ist gemeinsam, dass es sich dabei um Malware aus der Familie Alureon/TDSS/Tidserv handelt. Das ist ein Rootkit, das sich zur Tarnung tief ins System eingräbt und Windows-interne Funktionen manipuliert, um nicht entdeckt zu werden.
Das Alureon-Rootkit ist im Februar zu zweifelhaften Ruhm gekommen, weil es für Bluescreens verantwortlich gemacht wurde, die nach der Installation des Windows-Updates aus dem Microsoft Security Bulletin MS10-015 auftraten. Microsoft hat es daraufhin auf die Abschussliste seines Anti-Malware-Tools gesetzt.
Die aktuelle Alureon-Variante aus der ersten Spam-Welle (watch_video) wird inzwischen von den meisten Virenscannern erkannt. Bei der neuesten Variante sieht es hingegen bislang noch nicht so gut aus.
watch_video.exe
|
porn.exe
|
|
---|---|---|
AntiVir
|
TR/TDss.aany
|
---
|
Authentium
|
W32/Trojan3.BUQ
|
---
|
Win32:Trojan-gen
|
---
|
|
Crypt.VUN (Trojan horse)
|
Cryptic.TB (Trojan horse)
|
|
Trojan.TDss.ADZ
|
---
|
|
CA-AV
|
---
|
Win32/TDSS.H!packed
|
ClamAV
|
---
|
---
|
Dr.Web
|
---
|
---
|
Eset Nod32
|
Win32/Olmarik.SC trojan
|
---
|
Fortinet
|
---
|
---
|
F-Prot
|
W32/Trojan3.BUQ
|
---
|
---
|
---
|
|
G Data
|
Trojan.TDss.ADZ
|
---
|
Ikarus
|
Trojan-Dropper.Win32.TDSS
|
---
|
K7 Computing
|
---
|
---
|
Kaspersky
|
Trojan-Dropper.Win32.TDSS.sp
|
---
|
---
|
DNSChanger.bf (trojan)
|
|
McAfee Artemis
|
---
|
DNSChanger.bf (trojan)
|
McAfee GW Edition
|
Trojan.TDss.aany
|
---
|
Microsoft
|
---
|
VirTool:Win32/Obfuscator.EW
|
Norman
|
---
|
---
|
Panda
|
---
|
---
|
Panda (Online)
|
---
|
suspicious
|
PC Tools
|
Backdoor.Tidserv
|
---
|
QuickHeal
|
---
|
---
|
Rising AV
|
---
|
---
|
Sophos
|
Troj/Mdrop-CPC
|
Sus/UnkPack-C (suspicious)
|
Spybot S&D
|
---
|
---
|
Sunbelt
|
Trojan.Win32.Generic!BT
|
Packed.Win32.Tdss.q (v)
|
Symantec
|
Backdoor.Tidserv
|
---
|
Symantec (Online)
|
Backdoor.Tidserv
|
Suspicious.Insight
|
Trend Micro
|
TROJ_TDSS.CAI
|
---
|
VBA32
|
---
|
---
|
VirusBuster
|
Trojan.Alureon.Gen.12
|
---
|
Webroot
|
---
|
---
|
Quelle:
AV-Test
; Stand: 20.05.2010, 13 Uhr