Die Sturm-Wurm-Bande hat einmal mehr ihre Taktik geändert. Nachdem mehrere Monate lang vorgebliche Grußkarten-Mails die Mailboxen verstopften, verbreiten die Spam-Schleudern nun Links zu angeblichen Fotos vernachlässigter Frauen.
Mit den seit Monaten notorischen E-Card-Mails scheint es vorbei zu sein. Die Betreiber legitimer Grußkartendienste können aufatmen. Am letzten Freitag hat die so genannte Storm-Worm-Gang eine neue taktische Variante eingeführt. Sie hatten bereits in den letzten Wochen mehrfach kleine Änderungen vorgenommen, indem sie den Aufbau der vorgeblichen Grußkarten-Mails sowie der verlinkten Web-Seiten variierten . Jetzt haben sie sich auf die Verbreitung von Links zu angeblichen Fotos einsamer Damen verlegt.
Die Mails enthalten meist fast keinen Text und kommen mit einem Betreff wie:
"Lonely? Me too. Look what I like to do when I get lonely."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."
Im Text dieser Mails heißt es dann nur noch lapidar "click http://<IP-Adresse>/". Andere Varianten kommen ohne Betreff und einer der oben genannten Sprüche steht im Mail-Text. Die verlinkten Websites versuchen weiterhin anfällige Browser, vor allem den Internet Explorer, durch Exploit-Code für bekannte Sicherheitslücken zum Einschleusen von Malware aus der Nuwar-/Zhelatin-Familie auszunutzen.
Wenn kein passender Exploit im Repertoire ist, erscheint eine Seite mit der Aufforderung eine Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren. Dazu bietet die Seite eine Datei "msdataaccess.exe" an, einen Downloader für die Bot-Software der Storm-Worm-Gang. Dieser lädt weitere Malware nach, die den Rechner in das Botnet der Sturm-Wurm-Bande eingliedert und ihn in eine fremdgesteuerte Spam-Schleuder umfunktioniert.
Erkennung des Downloaders durch Antivirus-Software:
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
WORM/Zhelatin.Gen
|
|
Avast!
|
---
|
|
AVG
|
Downloader.Tibs.7.D
|
|
A-Squared
|
---
|
|
Bitdefender
|
Trojan.Peed.IFP
|
|
ClamAV
|
Trojan.Small-3608
|
|
Command AV
|
---
|
|
Dr Web
|
Trojan.Packed.142
|
|
eSafe
|
Trojan/Worm [100]
|
|
eTrust
|
Win32/Sintun.AC
|
|
Ewido
|
---
|
|
F-Prot
|
---
|
|
F-Secure
|
---
|
|
Fortinet
|
W32/Tibs.DU!tr.dldr
|
|
Ikarus
|
---
|
|
Kaspersky
|
Email-Worm.Win32.Zhelatin.gk
|
|
McAfee
|
--- (Tibs-Packed)*
|
|
Microsoft
|
Worm:Win32/Nuwar.gen
|
|
Nod32
|
---
|
|
Norman
|
---
|
|
Panda
|
---
|
|
QuickHeal
|
Suspicious
|
|
Rising AV
|
---
|
|
Sophos
|
Mal/Dorf-E
|
|
Spybot S&D
|
---
|
|
Symantec
|
Trojan.Packed.13
|
|
Trend Micro
|
Possible_Nucrp-4 (WORM_NUWAR.APZ)*
|
|
VBA32
|
---
|
|
VirusBuster
|
Trojan.Tibs.Gen!Pac.132
|
|
WebWasher
|
Worm.Zhelatin.Gen
|
|
GData AVK 2007 **
|
Email-Worm.Win32.Zhelatin.gk
|
Quelle:
AV-Test
, Stand: 20.08.2007, 13 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast