Neuer Nachfolger des Sturm-Wurms
Schädliche Grußkarten-Mails zum Jahreswechsel
Ein neuer Schädling nutzt den Jahreswechsel, um sich mit vorgeblichen Grußkarten-Mails einzuschleichen. Wegen großer Ähnlichkeiten in der gesamten Vorgehensweise sehen Malware-Forscher darin einen Enkel des Sturm-Wurms.
Die Masche ist weder neu noch sonderlich originell, scheint jedoch noch immer zu funktionieren. Immer wieder zu Feiertagen wird Malware mittels vorgeblicher Grußkarten-Mails verbreitet. Einer der Vorreiter dieser Taktik war der berüchtigte Sturm-Wurm. Auch sein Nachfolger Waledac nutzte diese Taktik. Jetzt ist ein neuer Schädling aufgetaucht, der neben der Verbreitungsmethode weitere Ähnlichkeiten mit Sturm-Wurm und Waledac zeigt.Die Shadowserver-Stiftung warnt zum Jahreswechsel vor einer Botnetz-Kampagne, die sie als "Storm Worm 3.0/Waledac 2.0" einstuft. Steven Adair listet eine Reihe von typischen Eigenschaften auf, die er beobachtet hat und die ihn an den Sturm-Wurm erinnern. Dazu zählt etwa die Verwendung ein Vielzahl so genannter Fast-Flux-Domains, die durch schnell fluktuierende DNS-Einträge ständig ihren Standort wechseln.Auch die Spam-Kampagne zur Verbreitung immer neuer Malware-Varianten erinnert an den Sturm-Wurm. Die Mails kommen mit einem Betreff wie zum Beispiel "Greetings to You", "Have a happy and colorful New Year!" oder "You have received a greetings card" und enthalten Links auf gehackte Web-Server.Von dort wird das potenzielle Opfer auf eine andere Web-Seite umgeleitet, die zur Installation eines vorgeblich erforderlichen Flash-Player-Update auffordert. Bei der über 400 KB großen Datei "install_flash_player.exe" handelt es sich um den neuen Schädling, der noch keinen Namen hat.Doch wer nicht schnell genug auf den Download-Link klickt, wird erneut umgeleitet. Er landet dann auf einer Seite, die Exploits für verschiedene Sicherheitslücken ausprobiert, um den Schädling einzuschleusen. Dieser nimmt umgehend Kontakt zu diversen IP-Adressen auf. Das im Aufbau befindliche Botnetz erweist sich bislang als recht instabil. Welchen Umfang es hat, ist derzeit unklar.
Weiter zur Startseite
