Eine neue Spam-Kampagne der so genannten Sturm-Wurm-Bande macht sich bestehende Verschwörungstheorien zu eigen und meldet eine angebliche neue Währung in Nordamerika. Tatsächlich geht es wieder nur um die Verbreitung von Malware.
Bereits seit geraumer Zeit geistern Verschwörungstheorien im Internet herum, die wissen wollen, dass die USA, Kanada und Mexiko eine Nordamerikanische Union, mit einer gemeinsamen Währung gründen wollen. Die neue Währung soll Amero heißen. Die so genannte Sturm-Wurm-Bande nutzt diese Gerüchte für eine neue Spam-Kampagne zur Rekrutierung neuer Zombie-PCs für ihr Botnet.
Die Mails kommen mit einem Betreff wie "Dollar is replacing by new currency" oder "Collapse of the Dollar". Der wie immer kurze Mail-Texte gipfelt in einem Link auf einer der einen Link auf eine zahlreichen IP-Adressen im Sturm-Botnet. Auf den bereits gekaperten Rechnern liefert ein Mini-Web-Server eine Seite aus, die über die angebliche Währungsunion berichtet und eine Abbildung der neuen Währung zeigt.
Wer das Bild anklickt, startet den Download einer etwa 90 KB großen Datei namens "amero.exe". Das ist die aktuelle Sturm-Malware, die auch Rootkit-Funktionalität (eine Malware-Tarnkappe) mitbringt. Die Web-Seite enthält außerdem schädlichen Javascript-Code, der Sicherheitslücken im Internet Explorer ausnutzen soll, um den Schädling ohne Zutun des Opfers einzuschleusen. Die Erkennung durch Antivirusprogramme weist derzeit noch größere Lücken auf.
|
Antivirus
|
Malware-Name
|
|---|---|
|
AntiVir
|
Worm/Zhelatin.zi
|
|
Avast!
|
---
|
|
---
|
|
|
A-Squared
|
---
|
|
Dropped:Rootkit.Agent.AITJ
|
|
|
CA-AV
|
---
|
|
ClamAV
|
---
|
|
Command AV
|
---
|
|
Dr Web
|
---
|
|
eSafe
|
File [100] (suspicious)
|
|
Ewido
|
---
|
|
F-Prot
|
---
|
|
Email-Worm.Win32.Zhelatin.aep
|
|
|
Fortinet
|
---
|
|
G-Data AVK
|
Email-Worm.Win32.Zhelatin.aep
|
|
Ikarus
|
---
|
|
Email-Worm.Win32.Zhelatin.aep
|
|
|
--- (W32/Nuwar@MM)*
|
|
|
Backdoor:Win32/Nuwar.gen!D
|
|
|
Nod32
|
---
|
|
Norman
|
---
|
|
---
|
|
|
QuickHeal
|
---
|
|
Rising AV
|
---
|
|
Sophos
|
Mal/Dorf-O
|
|
Spybot S&D
|
Smitfraud-C.,Malware,Executable
|
|
Sunbelt
|
---
|
|
Trojan.Peacomm.D
|
|
|
Trend Micro
|
---
|
|
VBA32
|
---
|
|
VirusBuster
|
---
|
|
WebWasher
|
Worm.Zhelatin.zi
|
* noch nicht in offiziellen Virensignaturen enthalten
Quelle:
AV-Test
, Stand: 22.07.2008, 10 Uhr