Neue Sturm-Wurm-Mails als Aprilscherze

Neue Sturm-Wurm-Mails als Aprilscherze
Bild 1 von 1

Neue Sturm-Wurm-Mails als Aprilscherze

 
01.04.2008 - 10:55 Uhr von Panagiotis Kolokythas

Die Sturm-Wurm-Bande hat eine neue Mail-Kampagne gestartet, um ihr Botnet wieder aufzufrischen. Dieses Mal greifen sie das nahe liegende Thema Aprilscherze auf, um Mail-Empfänger zum Klicken zu verleiten.

Am Vorabend des 1. April sind die ersten Mails einer neuen Welle von Malware-Spam der Sturm-Wurm-Bande auf den Weg zu neuen Opfern geschickt worden. Die Botnet-Betreiber haben die Web-Seite für die Downloads neu gestaltet, das Thema gewechselt und auch eine neue Kombination von EXE-Packern eingesetzt, um Antivirus-Programme auszutricksen. Der 1. April und die Tradition andere an diesem Tag in den April zu schicken müssen als Lockmittel genügen. Die letzte Kampagne Anfang März benutzte vorgebliche Grußkarten.

Die neuen Mails aus dem Sturm-Botnet kommen mit einem Betreff wie "All Fools' Day", "Doh! April's Fool.", "Gotcha! April Fool!", "Happy April Fools Day!", "I am a Fool for your Love", "Join the Laugh-A-Lot!" oder auch "Surprise! The joke's on you.", um nur ein paar Beispiele zu nennen. Das Internet Storm Center hat eine umfassendere Betreffliste zusammen gestellt.

Die Mails enthalten neben einem sehr kurzen Text wie üblich einen Link zu einer von vielen, ständig wechselnden IP-Adressen aus dem Sturm-Botnet. Auf den Zombie-PCs des Botnets liegt eine Web-Seite, die die Sturm-Malware gleich in drei Varianten bereit hält.

Wer das Bild anklickt, erhält eine Datei namens "kickme.exe", der Text-Link "click here" ist mit einer "foolsday.exe" verknüpft und wer fünf Sekunden tatenlos wartet, bekommt automatisch die Datei "funny.exe". Alle drei sind gleich groß, etwa 136 KB, können sich jedoch binär unterscheiden. Alle paar Minuten werden Server-seitig neue Dateivarianten generiert.

Die Erkennung der Schädlingsvarianten durch Antivirus-Software ist derzeit noch dürftig. Einige Virenscanner können mit generischen Signaturen für exotische EXE-Packer punkten, diese greifen jedoch nicht in jedem Fall.

Antivirus Malware-Name
AntiVir TR/Crypt.XPACK.Gen
Avast! ---
AVG I-Worm/Nuwar.R
A-Squared ---
Bitdefender Trojan.Crypt.AP
ClamAV Trojan.Crypted-16
Command AV ---
Dr Web Trojan.Packed.419
eSafe File [100] (suspicious)
CA-AV (eTrust) ---
Ewido ---
F-Prot ---
F-Secure Email-Worm.Win32.Zhelatin.wt
Fortinet suspicious
G-Data AVK Email-Worm.Win32.Zhelatin.wt
Ikarus VirTool.Win32.LDE
Kaspersky Email-Worm.Win32.Zhelatin.wt
McAfee --- (W32/Nuwar@MM)*
Microsoft ---
Nod32 Win32/Nuwar.CG worm (variant)
Norman ---
Panda ---
QuickHeal Suspicious (warning)
Rising AV ---
Sophos Troj/Dorf-BA
Spybot S&D Smitfraud-C.,,Executable
Sunbelt ---
Symantec --- (Trojan.Peacomm)*
Trend Micro ---
VBA32 ---
VirusBuster ---
WebWasher Trojan.Crypt.XPACK.Gen

Quelle: AV-Test, Stand: 01.04.08, 14 Uhr
* noch nicht in offiziellen Virensignaturen enthalten

Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Neue Technik kann begeistern und den Menschen das Leben erleichtern. Man muss sich nur einmal das Smartphone ansehen.mehr
Word hat eine Vielzahl an Funktionen zu bieten. Einige davon sind aber versteckt und wenig bekannt. Wir stellen Ihnen ...mehr
Windows 10 hat Windows-Tablets einen starken Schub gegeben. Wir haben uns die Geräte einmal genau angesehen und ...mehr
Anzeige
Anzeige
Anzeige
Gaming
Wie gewohnt geht es im Juli in Sachen Games deutlich gemütlicher zu, als im Frühjahr oder Herbst. Doch auch in den kommenden Wochen erscheinen einige vielversprechende Titel - so ...mehr
Highlights
Dass Antiquitäten für enorme Preise versteigert werden, ist weithin bekannt. Für technische Geräte gilt die Preissteigerung mit zunehmendem Alter eigentlich nicht. Eigentlich.mehr
Tagtäglich werden Unmengen von Fotos, Videos und Textnachrichten über WhatsApp verschickt. Wer an seinen Chatverläufen hängt, sollte jetzt ein Backup vornehmen.mehr
Anzeige