Neuer Nachfolger des Sturm-Wurms

Schädliche Grußkarten-Mails zum Jahreswechsel

Ein neuer Schädling nutzt den Jahreswechsel, um sich mit vorgeblichen Grußkarten-Mails einzuschleichen. Wegen großer Ähnlichkeiten in der gesamten Vorgehensweise sehen Malware-Forscher darin einen Enkel des Sturm-Wurms.

News
Spam-Kampagne
Spam-Kampagne
© Shadowserver

Die Masche ist weder neu noch sonderlich originell, scheint jedoch noch immer zu funktionieren. Immer wieder zu Feiertagen wird Malware mittels vorgeblicher Grußkarten-Mails verbreitet. Einer der Vorreiter dieser Taktik war der berüchtigte Sturm-Wurm. Auch sein Nachfolger Waledac nutzte diese Taktik. Jetzt ist ein neuer Schädling aufgetaucht, der neben der Verbreitungsmethode weitere Ähnlichkeiten mit Sturm-Wurm und Waledac zeigt.Die Shadowserver-Stiftung warnt zum Jahreswechsel vor einer Botnetz-Kampagne, die sie als "Storm Worm 3.0/Waledac 2.0" einstuft. Steven Adair listet eine Reihe von typischen Eigenschaften auf, die er beobachtet hat und die ihn an den Sturm-Wurm erinnern. Dazu zählt etwa die Verwendung ein Vielzahl so genannter Fast-Flux-Domains, die durch schnell fluktuierende DNS-Einträge ständig ihren Standort wechseln.Auch die Spam-Kampagne zur Verbreitung immer neuer Malware-Varianten erinnert an den Sturm-Wurm. Die Mails kommen mit einem Betreff wie zum Beispiel "Greetings to You", "Have a happy and colorful New Year!" oder "You have received a greetings card" und enthalten Links auf gehackte Web-Server.Von dort wird das potenzielle Opfer auf eine andere Web-Seite umgeleitet, die zur Installation eines vorgeblich erforderlichen Flash-Player-Update auffordert. Bei der über 400 KB großen Datei "install_flash_player.exe" handelt es sich um den neuen Schädling, der noch keinen Namen hat.Doch wer nicht schnell genug auf den Download-Link klickt, wird erneut umgeleitet. Er landet dann auf einer Seite, die Exploits für verschiedene Sicherheitslücken ausprobiert, um den Schädling einzuschleusen. Dieser nimmt umgehend Kontakt zu diversen IP-Adressen auf. Das im Aufbau befindliche Botnetz erweist sich bislang als recht instabil. Welchen Umfang es hat, ist derzeit unklar.

3.1.2011 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…