Über das Botnet der Sturm-Wurm-Bande werden Spam-Mails verbreitet, die Werbung für Online-Shops enthalten, in denen Medikamente feil geboten werden. Die Links in den Mails führen auf Weiterleitungsseiten, die auf Botnet-Rechnern liegen.
Botnets werden von ihren Betreibern gerne an Spammer vermietet, um über die fremdgesteuerten Zombie-PCs Spam-Mails zu verbreiten. Die Sturm-Wurm-Bande setzt allem Anschein nach neuerdings auf eine Strategie der Mehrfachnutzung. Die Zombie-PCs verbreiten Spam-Mails, dienen als Zwischenstation für Links zu den per Spam beworbenen Online-Shops und beherbergen auch weiterhin die Download-Seiten für die Sturm-Malware.
Forscher des Sicherheitsunternehmens Websense berichten im Blog der Websense Security Labs über die neue Taktik der Sturm-Wurm-Bande. Die vom Sturm-Botnet verbreiteten Spam-Mails enthalten einen Link nach dem Schema "http://<IP-Adresse>/<Unterverzeichnis>/", also etwa "http://123.123.123.123/name/". Die beim Anklicken des Links aufgerufene Seite liegt auf einem Zombie-PC des Botnets und leitet zur Website einer zweifelhaften Online-Apotheke weiter, die einen ganz normalen Domain-Namen hat.
Im Hauptverzeichnis des Web-Servers auf dem Zombie-PC (also "http://<IP-Adresse>/") liegt weiterhin die Download-Seite für die seit Mitte Januar
laufende Malware-Kampagne der Sturm-Wurm-Bande
. Dort gibt es zwar mittlerweile ein neues Bild mit ähnlichem Motiv wie zuvor, ansonsten hat sich jedoch nicht viel geändert.
Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.
Erkennung der aktuellen Sturm-Malware durch Antivirus-Programme:
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
Worm/Zhelatin.ow
|
|
Avast!
|
---
|
|
I-Worm/Nuwar.L
|
|
|
A-Squared
|
---
|
|
Trojan.Peed.ITU
|
|
|
ClamAV
|
Trojan.Dropper-3840
|
|
Command AV
|
---
|
|
Dr Web
|
Trojan.Packed.336
|
|
eSafe
|
File [100] (suspicious)
|
|
eTrust
|
Win32/Sintun!generic
|
|
Ewido
|
---
|
|
F-Prot
|
W32/Zhelatin.E.gen!Eldorado
|
|
Email-Worm.Win32.Zhelatin.uq
|
|
|
Fortinet
|
W32/PackTibs.L
|
|
G-Data AVK
|
Email-Worm.Win32.Zhelatin.uq
|
|
Ikarus
|
---
|
|
Email-Worm.Win32.Zhelatin.uq
|
|
|
W32/Nuwar@MM
|
|
|
Backdoor:Win32/Nuwar.gen!B
|
|
|
Nod32
|
Win32/Nuwar.Gen worm
|
|
Tibs.gen193
|
|
|
---
|
|
|
QuickHeal
|
---
|
|
Rising AV
|
---
|
|
Sophos
|
Mal/Dorf-K
|
|
Spybot S&D
|
---
|
|
Sunbelt
|
---
|
|
Trojan.Peacomm.D
|
|
|
Trend Micro
|
TROJ_NUWAR.KE
|
|
VBA32
|
---
|
|
VirusBuster
|
Trojan.DR.Zhelatin.BE.Gen
|
|
WebWasher
|
Worm.Zhelatin.ow
|
Quelle: AV-Test ( http://www.av-test.de ), Stand: 30.01.2008, 14 Uhr