Die Betreiber des Waledac-Botnet versuchen offenbar wieder ihre Basis zu verbreitern. Eine neue Mail-Kampagne benutzt den US-amerikanischen Unabhängigkeitstag als Köder, verheißt Videos vom Feuerwerk.

Nachdem es in den letzten Wochen um das Waledac-Botnet sehr ruhig war, haben dessen Betreiber am 3. Juli eine neue Spam-Kampagne gestartet. Wie schon der so genannte Sturm-Wurm vor einem Jahr nutzt dessen Nachfolger Waledac den Unabhängigkeitstag der USA am 4. Juli als Lockmittel. Die Mails versprechen ein Youtube-Video mit Bildern vom zu diesem Anlass veranstalteten Feuerwerk. Die verlinkten Websites liefern jedoch Malware aus.
Der Betreff dieser Mails enthält folglich Elemente wie zum Beispiel "Independence Day" "4th of July" und "Fireworks". Sie werden von Zombie-Rechnern des Waledac-Botnet verschickt. Mehr als zwei Dutzend neu registrierte Domains, deren Namen zum Teil Elemente wie "fireworks", "holiday", "movie" oder "video" kombinieren, verweisen auf Web-Server, die ebenfalls auf Rechnern des Waledac-Botnet laufen. Auch die Name-Server laufen auf solchen Zombie-PCs und lenken Web-Aufrufe in schnellem Wechsel auf verschiedene Botnet-Rechner.
Die Websites sehen alle gleich und enthalten einen Text, der behauptet, das auf der Seite erhältliche Video zeige ein prämiertes Feuerwerk. Das vermeintliche Vorschaufenster des Videos ist ein statisches GIF-Bild, das mit einem Link unterlegt ist. Das Anklicken dieses Bilds startet den Download einer über 600 KB großen EXE-Datei mit wechselnden Dateinamen wie etwa "run", "install" oder "fireworks".
Bei dieser EXE-Datei handelt es sich um eine Kopie der Waledac-Malware. Die Erkennung des Schädlings durch Antivirusprogramme wird dadurch erschwert, dass wie üblich in regelmäßigen Intervallen neue Variationen der Dateien erzeugt werden. Die folgende Tabelle gibt zudem nur die Erkennung mit Hilfe von Signaturen wieder. So manche Security-Suite enthält jedoch erweiterte Detektionstechniken, die auch unbekannte Schädlinge abfangen können.
Antivirus
|
Malware-Name
|
---|---|
AntiVir
|
Worm/Iksmas.cqu
|
Authentium
|
---
|
---
|
|
FakeAlert.LG (Trojan horse)
|
|
---
|
|
CA-AV
|
---
|
ClamAV
|
---
|
Dr Web
|
---
|
Eset Nod32
|
---
|
Fortinet
|
---
|
F-Prot
|
---
|
F-Secure 2009
|
Trojan:W32/Waledac.gen!J
|
F-Secure 2010
|
Trojan:W32/Waledac.gen!J
|
G-Data AVK 2008
|
Email-Worm.Win32.Iksmas.cqu
|
G-Data AVK 2009
|
---
|
Ikarus
|
Email-Worm.Win32.Iksmas
|
ISS VPS
|
---
|
K7 Computing
|
---
|
Email-Worm.Win32.Iksmas.cqu
|
|
W32/Waledac.gen.n
|
|
McAfee Artemis
|
W32/Waledac.gen.n
|
McAfee GW Edition
|
Worm.Iksmas.cqu
|
Microsoft
|
Trojan:Win32/Waledac.gen!A [generic]
|
Norman
|
---
|
Panda
|
---
|
Panda (Online)
|
Trj/CI.A
|
QuickHeal
|
---
|
Rising AV
|
---
|
Sophos
|
Mal/WaledPak-H
|
Spybot S&D
|
---
|
Sunbelt
|
---
|
Symantec
|
---
|
Trend Micro
|
---
|
VBA32
|
---
|
VirusBuster
|
---
|
Quelle:
AV-Test
, Stand: 06.07.2009, 14:00 Uhr