Neuer Nachfolger des Sturm-Wurms

Schädliche Grußkarten-Mails zum Jahreswechsel

Ein neuer Schädling nutzt den Jahreswechsel, um sich mit vorgeblichen Grußkarten-Mails einzuschleichen. Wegen großer Ähnlichkeiten in der gesamten Vorgehensweise sehen Malware-Forscher darin einen Enkel des Sturm-Wurms.

Spam-Kampagne

© Shadowserver

Spam-Kampagne

Die Masche ist weder neu noch sonderlich originell, scheint jedoch noch immer zu funktionieren. Immer wieder zu Feiertagen wird Malware mittels vorgeblicher Grußkarten-Mails verbreitet. Einer der Vorreiter dieser Taktik war der berüchtigte Sturm-Wurm. Auch sein Nachfolger Waledac nutzte diese Taktik. Jetzt ist ein neuer Schädling aufgetaucht, der neben der Verbreitungsmethode weitere Ähnlichkeiten mit Sturm-Wurm und Waledac zeigt.Die Shadowserver-Stiftung warnt zum Jahreswechsel vor einer Botnetz-Kampagne, die sie als "Storm Worm 3.0/Waledac 2.0" einstuft. Steven Adair listet eine Reihe von typischen Eigenschaften auf, die er beobachtet hat und die ihn an den Sturm-Wurm erinnern. Dazu zählt etwa die Verwendung ein Vielzahl so genannter Fast-Flux-Domains, die durch schnell fluktuierende DNS-Einträge ständig ihren Standort wechseln.Auch die Spam-Kampagne zur Verbreitung immer neuer Malware-Varianten erinnert an den Sturm-Wurm. Die Mails kommen mit einem Betreff wie zum Beispiel "Greetings to You", "Have a happy and colorful New Year!" oder "You have received a greetings card" und enthalten Links auf gehackte Web-Server.Von dort wird das potenzielle Opfer auf eine andere Web-Seite umgeleitet, die zur Installation eines vorgeblich erforderlichen Flash-Player-Update auffordert. Bei der über 400 KB großen Datei "install_flash_player.exe" handelt es sich um den neuen Schädling, der noch keinen Namen hat.Doch wer nicht schnell genug auf den Download-Link klickt, wird erneut umgeleitet. Er landet dann auf einer Seite, die Exploits für verschiedene Sicherheitslücken ausprobiert, um den Schädling einzuschleusen. Dieser nimmt umgehend Kontakt zu diversen IP-Adressen auf. Das im Aufbau befindliche Botnetz erweist sich bislang als recht instabil. Welchen Umfang es hat, ist derzeit unklar.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…