-
Augen auf beim E-Mail-Austausch: Frei nach diesem Motto sollten alle Internetnutzer zur Zeit besonders aufpassen, wenn sie ihre elektronischen Nachrichten abrufen. Zwei Tage vor dem 13. Februar, dem Valentinstag, geistern zahlreiche E-Mails durch das world wide web, die äußerst unangenehme Folgen haben können. Sie tarnen sich als liebevolle Valentinsgrüße, sind aber mit unterschiedlichen neuen Würmern und Viren bestückt.
Gefährliche E-Mails
Die Experten von Sophos haben zwei neue Viren entdeckt, die ihre angeblichen Liebesgrüße via E-Mail-Attachment und Peer2Peer-Netzwerke verbreiten. E-Mails, die den Wurm Kipis.H enthalten, haben die Betreffzeile "Happy Valentine’s Day". Sobald der Wurm aktiviert ist, schaltet er den auf dem PC installierten Virenschutz aus. Außerdem gibt er Kriminellen über einen geöffneten Port Zugriff auf den PC. Außerdem sendet er sich an alle Kontakte im Adressbuch, wobei der die E-Mail-Adresse des Senders fälscht.
Der zweite neue Schädling namens VBSWG.D verbreitet sich in einer E-Mail mit der Betreffzeile "First Love Story…!!!" und einer Datei namens FirstLove.vbs. Am 14. Februar wird die sehr deutliche Meldung "Happy F***ing Valentine…!!!" angezeigt und der Computer automatisch heruntergefahren. Bereits zuvor hat sich der Wurm ebenfalls über eine eigene SMTP-Maschine an alle Kontakte weiterversendet, die auf dem PC gefunden werden konnten.
Das war noch lange nicht alles
Kipis-H und VBSWG-D sind die letzten in einer langen Reihe von Viren, die Grüße zum Valentinstag ausnutzen, damit Anwender schädlichen Code aktivieren:
* Der LoveLetter Wurm war zum Zeitpunkt seines Umlaufs der größte Virus überhaupt. Er hat eine E-Mail mit der Betreffzeile "ILOVEYOU" versendet, die behauptete, einen Liebesbrief zu enthalten. Die Anklage gegen den mutmaßlichen philippinischen Autor wurde fallen gelassen, da die Gesetze zu diesem Zeitpunkt nicht ausreichend waren.
* Der Bagle-W Wurm behauptete "I just need a friend", als er sich im April 2004 verbreitete. Er gab vor, eine Studentin zu sein, die einen "interessanten und aktiven Mann, der sich eine ernsthafte Beziehung wünscht", sucht. In der E-Mail enthalten war das Bild einer unschuldigen jungen brünetten Frau.
* Der Lovelet-C Wurm verbreitete sich vor fünf Jahren über E-Mail-Systeme. Er lud Empfänger zu einem Treffen am selben Abend ein.
* Der Wurmark Wurm, der derzeit im Umlauf ist, kann sich von E-Mail-Adressen, wie z. B. "RomeoRichard" und "Sexy_guy88", versenden und vorgeben, ein geheimer Bewunderer zu sein.
* Der Yaha-K Wurm verwendet Betreffzeilen, wie "Wanna be my sweetheart?", "You are so sweet" und "Are you looking for love". Allerdings startet er von den infizierten Computern aus eine Attacke gegen Computer der pakistanischen Regierung.
* Der Numgame Wurm versendet E-Mails mit der Nachricht "Are you my valentine?" und spielt ein Bildschirmspiel mit den infizierten Anwendern, bevor er sich auf andere Computer verbreitet.
* Der Randex Netzwerkwurm versuchte, in Computersysteme mit einfachen Kennwörtern, u. a. ILOVEYOU, einzudringen.
Aufgrund der zahlreichen Bedrohungen, ist es dringend zu empfehlen, den Virenschutz zu aktualisieren. Andernfalls läuft man Gefahr, den eigenen PC mit einer Malware zu infizieren.^
Quelle : www.onlinekosten.de
-
Mehrere Hersteller von Antivirensoftware warnen derzeit vor einem "Ausbruch" des Windows-Schädlings Trojan-Downloader.Win32.Small.dam. Der auch "Sturm-Wurm" genannte Schädling versucht durch Sensationsmeldungen rund um den Orkan Kyrill auf sich aufmerksam zu machen. Da sich der Trojaner nach bisherigen Erkenntnissen aber nicht selbst verbreitet, handelt es sich eigentlich nicht um einen echten Wurm.
Eine infizierte Mail trägt unter anderem den Betreff "230 dead as storm batters Europe" und verspricht im Anhang ein Video zu enthalten. Wenig überraschend steckt dort dann der Trojaner in einer ausführbaren Datei mit dem Namen FullClip.exe, FullStory.exe oder FullVideo.exe. Daneben enthalten andere, ebenfalls per Spam-Listen verteilte Mails mit dem gleichen Schädling englische Betreffzeilen zu einem angeblichen Genozid an britischen Muslimen. Eine weitere Variante kommt mit der Schlagzeile, Condoleezza Rice habe bei ihrem Besuch in Deutschland Angela Merkel getreten.
Der Trojaner lädt weitere Dateien aus dem Internet nach. Was er genau macht, verraten die Antivirenhersteller nicht. Laut GDATA wird unter anderem das Rootkit Win32.agent.dh installiert. Laut Sophos soll seit Mitternacht eine von 200 Mails den Trojaner enthalten. Ikarus will bereits 20.000 infizierte Mails mit 11 verschiedenen Trojaner-Varianten gesichtet haben. Noch nicht alle Hersteller stellen Signaturen bereit, mit denen die Trojaner erkannt werden.
(http://www.heise.de/bilder/83978/0/1)
Noch nicht alle Scanner erkennen den Sturm-Wurm und seine Varianten
Ob allerdings wirklich von einem Ausbruch gesprochen werden kann, ist fraglich. Der mittlerweile von Cisco gekaufte Hersteller Ironport etwa stellt in seiner Statistik jedenfalls keinen Ausbruch fest. Auch sind von anderen Beobachtern kaum Exemplare im Netz gesichtet worden. Trotzdem gilt wie immer: Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen. Gerade die kürzlich aufgetauchten Trojaner in gefälschten 1&1- und GEZ-Rechungen zeigen, wie reflexartig manche Anwender vorgehen.
Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.
Quelle : www.heise.de
-
Die „Sturm-Wurm-Gang“ versendet zurzeit einen neuen Trojaner. Es ist eine Variante des kürzlich aufgetauchten Small.DAM. Ist der Schadcode erfolgreich, generiert dieser ein Peer-to-Peer-Botnet auf den Ports 7871/UDP und 4000/UDP.
Als Betreffzeile lassen sich die Versender immer neue, bizarre Themen einfallen. Darunter befinden sich zum Beispiel „President of Russia Putin is dead“, „Third World War just have startet!“ oder „Sadam Hussein alive!“. Die namen der Anhänge sind relativ gleich geblieben. E-Mails, die Video.exe, Full Video.exe, Read More.exe, Full Text.exe oder Full Clip.exe enthalten sollten schnellstens ins Nirvana wandern.
Liste aller bisher verwendeten Betreffzeilen:
Russian missle shot down Chinese satellite
Russian missle shot down USA aircraft
Russian missle shot down USA satellite
Chinese missile shot down USA aircraft
Chinese missile shot down USA satellite
Sadam Hussein alive!
Sadam Hussein safe and sound!
Radical Muslim drinking enemies' blood.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
U.S. Southwest braces for another winter blast. More then 1000 people are dead.
Venezuelan leader: "Let's the War beginning".
Fidel Castro dead.
Hugo Chavez dead.
President of Russia Putin dead
Third World War just have started!
The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
The commander of a U.S. nuclear submarine lunch the rocket by mistake.
First Nuclear Act of Terrorism!
And the attachment names are:
Video.exe
Full Video.exe
Read More.exe
Full Text.exe
Full Clip.exe
Die neuesten Versionen von heute sind:
So in Love
Happy World Religion Day!
Most Beautiful Girl
Someone at Last
I Believe
The Dance of Love
The Miracle of Love
All For You
Vacation Love
I am Complete
Wrapped Up
Moonlit Waterfall
A Little (sex) Card
A Special Kiss
Hugging My Pillow
Safe and Sound
You're Soo kissable
A Romantic Place
Breakfast in Bed Coupon
For You
I Love You So
Safe and Sound
Want to Meet?
We Are Different
We Have Walked
You Asked Me Why
New filenames include Flash Postcard.exe
Quelle: f-secure.com/weblog
-
Der so genannte "Sturm-Wurm" dient zum Aufbau neuer Botnets, die noch mehr Spam versenden sollen. Dies wird bei der Analyse der Schädlinge offenbar, die bei dieser Kampagne verwendet werden.
Seit Freitag, 19. Januar, haben sich mehrere Wellen Spam-artig verbreiteter Mails über die Mailboxen von Internet-Nutzern ergossen. Die Mails enthalten keinen Text, jedoch ein Trojanisches Pferd im Anhang, das in etlichen verschiedenen Varianten eingesetzt wird. Die ganze Aktion dient dem Aufbau von Botnets.
Wie Amado Hidalgo von Symantec Security Response im Weblog der Sicherheitsforscher berichtet, installieren die ersten Schädlingsvarianten eine Art Rootkit, das den Datenverkehr der Malware tarnen soll. Die als "wincom32.sys" im System32-Verzeichnis abgelegte Treiberdatei ist selbst nicht getarnt und injiziert Programm-Code in laufende Windows-Prozesse.
Die Malware versucht über den UDP-Port 4000 Kontakt zu einer Art Peer-to-Peer-Netz aufzubauen, über das sie weitere Schädlinge herunter lädt und installiert. Das sind Dateien mit den Namen "game0.exe" bis "game5.exe". Dabei handelt es sich unter anderem um einen Mail-Proxy und einen Mail-Harvester. Ersterer leitet Spam-Mails weiter, letzterer sammelt neue Mail-Adressen auf dem verseuchten Rechner und schickt sie als JPG-Bild getarnt an einen Server.
Die verseuchten PCs bilden ein Netzwerk fremdgesteuerter Rechner ("Zombies"), ein Botnet. Dieses kann nun Spam verbreiten und als Download-Quelle für angehende Zombies dienen. In späteren Mail-Wellen haben die Versender neue Versionen des Rootkits eingesetzt, das nun auch mehr Tarnfunktionen mitbringt. Es versteckt seine Registry-Einträge sowie benutzte Netzwerk-Ports. Es verwendet nunmehr den UDP-Port 7871 statt 4000 zur Kommunikation.
Dieser Tarndienst kann mit dem Befehl "net stop wincom32" auf der Kommandozeile beendet werden, die versteckten Ports und Registry-Einträge werden dann wieder sichtbar. Die Eingabeaufforderung muss dazu allerdings mit Administratorrechten gestartet werden oder Sie benutzen den "runas"-Befehl auf der Kommandozeile.
Das auf diese Weise aufgebaute Botnet verbreitet so genannten Penny-Stock-Spam, also betrügerische Geldanlagetipps. Die fremdgesteuerten Rechner senden eine Stoßwelle von zum Teil mehr als tausend Mails in wenigen Minuten und halten danach wieder still. Sie geben den Staffelstab an den nächsten Zombie-Rechner weiter, der wiederum eine neue Spam-Welle ausstößt.
Quelle : www.pcwelt.de
-
Die Wellen von Angriffen die mit dem Sturm-Trojaner begannen und dann zu Meldungen über den ausgebrochenen Weltkrieg mutierten, laufen weiter und haben nach Angaben von Symantec inzwischen rund 1.6 Millionen PCs versucht zu infizieren. In wie vielen Fällen die Angriffe erfolgreich gewesen seien, ist bislang unklar. Wie 'CRN' berichtet, würden die Mutationen weitergehen und aktuell vor allem Liebesbriefe mit gefährlichem Anhang versenden.
Neben Systemen mit Windows 2000 und XP scheint der Trojaner, der ein Hintertürprogramm installiert, um über UDP-Ports 4000 und 7871 Nutzerdaten abzugreifen oder Spam zu versenden, auch Rechner mit dem neuen Vista angreifen zu können. Windows 2003 Server seien von den Hackern, vermutlich aus Mangel an Zeit, explizit ausgenommen worden. Das die Bedrohung ernst zu nehmen ist, belegt die Tatsache, das Symantec erstemals seit Sober im Mai 2005 die Bedrohungsstufe 3 auf seiner Skala von 1 bis 5 ausgerufen hat.
Quelle: inside-it.ch
-
Nach Angaben eines Antivirus-Herstellers haben neue Varianten bekannter Malware-Mails teilweise mehr als die Hälfte der abgefangenen schädlichen Mails ausgemacht. Diese Mails werden weiterhin Spam-artig verbreitet.
Der spanische Antivirus-Hersteller Panda Software warnt vor neuen Wellen des Wurms "Nurech.A". Nach Angaben von Virenforschern der Panda Labs in deren Weblog machen verschiedene Varianten dieses Schädlings zeitweise bis zu 60 Prozent der bei Panda erhaltenen Mails aus. Bei der darin enthaltenen Malware handelt es sich um immer neue Varianten von Schädlingen, die als " Sturm-Wurm " bekannt geworden sind. Die ersten Mails dieser Art tauchten kurz nach dem Orkan "Kyrill" auf und lockten unter anderem mit vorgeblichen Meldungen zu diesem Thema im Betreff.
Charakteristisch für Mails dieses Typs sind derzeit vor allem Betreffzeilen, die mit typischen Themen aus Grußkarten-Mails daher kommen. Aktuelle Beispiele sind etwa "Evening Romance Doing It for You", "Window of Beauty" oder "Together You and I". Ein Text ist in den Mails nicht enthalten. Im Anhang befindet sich der Schädling mit Dateinamen wie "flash postcard.exe", "greeting card.exe", "greeting postcard.exe" oder "postcard.exe" und einer Größe von etwa 52 KB.
Wird diese Datei geöffnet, versucht der Schädling diverse Sicherheitsprogramme außer Gefecht zu setzen. Falls der Benutzer die nötigen Rechte hat, beendet Nurech.A laufende Prozesse, deren Namensbestandteile auf ein Antivirusprogramm oder eine Software-Firewall hinweisen. Außerdem verfügt der Schädling über Rootkit-Funktionen, mit denen er sich verstecken kann. Er nistet sich als "wincom32.sys" im System32-Verzeichnis von Windows ein.
Mit den meist Spam-artig verbreiteten Mails werden immer neue Varianten des Schädling verschickt, die mehrmals pro Stunde neu erzeugt werden. Damit soll die Erkennung durch Antivirus-Software unterlaufen werden, was jedoch derzeit nur bedingt erfolgreich ist. Einige Antivirus-Hersteller, darunter auch das Open-Source-Projekt Clam, haben generische Signaturen entwickelt, die auch die neuen Varianten recht zuverlässig erkennen.
Quelle : www.pcwelt.de
-
Vorgebliche Grußkarten-Mails sind ein beliebtes Vehikel zur Verbreitung von Malware. Zum Valentinstag verschickte Mails dieser Art verlinken auf eine Website, auf der Besuchern ein falscher Flash-Player angedient wird.
Heute ist Valentinstag - Happy Valentine. Wenn ihn die Floristen nicht schon so populär gemacht hätten, müssten das die Virenprogrammierer selbst tun. Denn wie Weihnachten und Neujahr ist der Valentinstag ein überzeugender Anlass zum Versenden und Empfangen von Grußkarten-Mails. Vermutlich sind darunter aber mehr falsche als echte, denn Viren-Spammer verbreiten massenhaft Grußkarten-Mails, die entweder auf eine mit Malware gespickte Website verlinken oder diese gleich als Anhang mitbringen.
So werden seit Dienstag neben neuen Varianten des " Sturm-Wurms " auch Mails verschickt, die vorgeblich von einem tatsächlich existierenden Grußkarten-Dienst "American Greetings" (hxxp://www.americangreetings.com) kommen. Die Links in den Mails führen jedoch nicht zu dessen richtiger Website, sondern zu Nachahmungen mit anderen Domain-Namen wie "americansgreetings.net" (oder ".biz", ".info", ."de" und weitere).
Dort wird Besuchern sofort die Notwendigkeit eines neuen Flash-Players verkündet und der Download eines angeblichen Installationsprogramms wird automatisch gestartet. Die Datei heißt "install_flash_player.exe" und ist etwa 20 KB groß. Verschiedene Web-Server liefern dabei unterschiedliche Versionen der Datei aus, die sich nur durch eine variierte EXE-Komprimierung unterscheiden.
Die gute Nachricht ist, dass zurzeit keiner dieser Server mehr erreichbar zu sein scheint. Der angebliche Flash-Player-Installer installiert keinen Flash-Player sondern ein Trojanisches Pferd, das aus dem Internet nachgeladen wird. Es klinkt sich als Browser Helper Object (BHO) in den Internet Explorer ein und kann so alle eingegebenen Zugangsdaten ausspionieren, etwa die für das Online-Banking. Der Download-Server dafür liefert noch und nimmt auch die ausspionierten Daten entgegen.
Quelle : www.pcwelt.de
-
Ein neuer Schädling aus der Sturm-Wurm-Familie verbreitet sich über Webmail und fügt legitimen Mails und Foren-Postings Spam hinzu, der Leser auf eine Malware-Website locken soll.
Es ist nur scheinbar ruhig um die "Storm-Worm-Gang" geworden, tatsächlich sind ihre Mitglieder weiterhin sehr aktiv. Sie erdenken immer neue Wege, um ihre Schädlinge unters Volk zu bringen, die dem Aufbau neuer Botnets dienen. Wie wir bereits berichteten, haben sie eine Art Webmail-Wurm kreiert, der die Mail-Funktionen in Web-Portalen wie AOL oder Yahoo ausnutzt.
Eine Analyse von Eric Chien, Virenforscher bei Symantec Security Response, offenbart weitere Funktionen in diesem Schädling. Im Symantec Security Response Blog berichtet Chien über Postings legitimer Nutzer in Web-Foren, die Links auf mehrere verschiedene vorgebliche Grusskarten-Websites enthalten. Ganz normale und an sich harmlose Postings werden ebenso wie über Webmail versandte Mails um diese Links ergänzt.
Wie schon früher erzeugt die Sturm-Wurm-Bande ihre Malware mehrmals pro Stunde immer wieder neu, indem der gleiche Code Server-basiert mit leicht geänderten Parametern neu komprimiert und verschleiert wird. Die vorgeblichen Grusskarten-Websites starten dann beim Aufruf im Browser automatisch den Download der frisch erzeugten Malware.
Wie die nachfolgende Tabelle zeigt, haben verschiedene Antivirus-Hersteller Wege gefunden auch frisch generierte Malware-Varianten zu erkennen. Die für die Tabelle verwendete Malware ist neuer als die überwiegende Zahl der zum Scannen eingesetzten Antivirus-Updates. Die Erfahrung lehrt jedoch, dass die Sturm-Wurm-Gruppe bald ihre Verfahren anpassen und die Download-Server wechseln wird, womit das Katz-und-Maus-Spiel wieder in eine neue Runde gehen dürfte.
Quelle : www.pcwelt.de
-
Eine neue Wurmversion aus der Nuwar/Zhelatin-Familie greift einen Trick auf, den bereits der Bagle-Wurm eingesetzt hat: Um einer Erkennung durch Viren-Scanner zu entgehen, ist die ausführbare Datei mit dem Schadcode in einem passwortgeschützten ZIP-Archiv versteckt.
(http://www.heise.de/bilder/88213/0/1)
Die Wurm-Mail warnt den Anwender vor einem gefährlichen Wurm, gegen den der angehängte Patch schützen soll. Er sei aus Sicherheitsgründen verschlüsselt und der Anwender solle das Passwort eingeben, um ihn zu installieren. Um sich vor Scannern zu schützen, die Text analysieren, ist dieser ähnlich wie bei manchen Spam-Mails nur als Bildatei eingebunden.
Diese Vorgehensweise zeigt Erfolg: Während nahezu alle Scanner den ausgepackten Schädling erkennen, ist die Erkennungsrate der verschlüsselten ZIP-Datei recht schlecht. Somit kann sich der Wurm zumindest an vielen Viren-Scannern auf Mail-Gateways vorbeimogeln. Ein aktiver Virenwächter auf dem Arbeitsplatzsystem sollte allerdings spätestens beim Öffnen des verschlüsselten Archivs anschlagen. Über den c't-Emailcheck können Sie sich unter anderem auch einen harmlosen, verschlüsselten Testvirus zusenden lassen (EICAR in passwortgeschütztem ZIP-Archiv), mit dem Sie überprüfen können, wie Ihr Virenschutz auf deratige Tricks reagiert.
Quelle : www.heise.de
-
Eine neue Welle des so genannten Sturm-Wurms wird über vorgebliche Grußkarten-Mails verbreitet. Teilweise enthalten die Mails Links zu angeblichen Grußkarten-Seiten, zum Teil steckt die Malware auch direkt im Anhang.
Als Postkarten-Mails getarnte Malware ist keine ganz neue Masche, wurde bislang jedoch selten auf so breiter Front eingesetzt wie zurzeit. Bereits seit einigen Tagen werden Spam-artig Mails verschickt, die einen Betreff wie "You've received a greeting postcard from a friend!" tragen. Dabei variieren die Angaben im Betreff, von wem man angeblich eine Grußkarte erhalten habe, von "friend" über "neighbor" und "school-mate" bis "worshipper". Die in den Mails genannten Grußkarten-Websites, über die diese Mails angeblich verschickt werden, reichen von "123greetings.com" über "bluemountain.com" bis "MyPostcards.Com".
Die meisten dieser Mails enthalten einen Link zu einer IP-Adresse mit einem zusätzlichen Parameter, zum Beispiel "123.123.12.34/?1651a6468e45d131c351654". Über Sicherheitslücken im Browser wird beim Aufruf versucht, Malware einzuschleusen. Wird keine passende Sicherheitslücke gefunden, erscheint auf der Seite eine Meldung "We are currently testing a new browser feature. If you are not able to view this ecard, please click here to view in its original format" - der Besucher soll sich also die Malware "ecard.exe" selbst herunter laden. Diese gehört zur Familie des so genannten Sturm-Wurms und dient dem Aufbau von Botnets.
Neuere Mails bringen, wie schon früher üblich, den Schädling gleich als Anhang mit. Der Betreff lautet hier einfach "Hi, you.ve just received a postcard." und der Anhang heißt "postcard.exe". Diese Malware gehört zur Familie Stration/Warezov und verfolgt das gleiche Ziel wie die "Sturm-Würmer".
Quelle : www.pcwelt.de
-
Der Sturm-Wurm tobt weiter durch die Mailboxen. Nach Grußkarten sind nun vorgebliche Warnungen vor einer Spyware-Infektion Thema der Mails. Sie verlinken auf Websites, die versuchen Malware einzuschleusen.
Die Sturm-Wurm-Gang wechselt einmal mehr die Masche. Nach vorgeblichen Grußkarten-Mails und Mail-Grüßen zum amerikanischen Unabhängigkeitstag sind es nunmehr vorgetäuschte Warnungen vor einer angeblichen Infektion mit Malware oder Spyware. Die Mails werden Spam-artig verbreitet und kommen mit gefälschten Absenderangaben sowie einem Betreff wie "Spyware Detected!", "Malware Alert!", "Worm Alert!", "Worm Activity Detected!" oder "Virus Detected!".
(http://images.pcwelt.de/images/pcwelt/bdb/84677/800x.jpg)
Im Text wird behauptet, man habe ungewöhnliche Mail-Aktivitäten beobachtet, die von der IP-Adresse des Empfängers ausgingen. Der Rechner sei womöglich nicht mit aktuellen Updates versehen. Die Empfänger werden aufgefordert eine (von mehreren verschiedenen) in den Mails verlinkten Websites zu besuchen und einen Patch herunter zu laden. Andernfalls werde das Benutzerkonto gesperrt.
In dieser Seite enthaltener Script-Code versucht über Sicherheitslücken im Browser Malware einzuschleusen. Gelingt dies nicht, zeigt die Seite einen Text an, der zum Download einer "patch.exe" auffordert. Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nach lädt.
Quelle : www.pcwelt.de
-
Die Spam-Welle falscher Grußkarten-Mails reißt nicht ab. Bereits seit vier Wochen fluten die Botnets der Storm-Worm-Gang weltweit die Mailboxen mit angeblichen Grußkarten, in denen Links zu Malware-Sites führen.
Einen so lange andauernden Malware-Ausbruch hat es schon seit längerer Zeit nicht mehr gegeben. Die Masche ist offenbar weiterhin erfolgreich, sonst hätten die Versender die Taktik längst gewechselt. Bereits seit Ende Juni versenden die fremdgesteuerten Zombie-Rechner aus den Botnets der "Sturm-Wurm-Bande" Mails mit einem Betreff wie "You've received a greeting postcard from a friend!", wobei das letzte Wort statt "friend" zum Beispiel auch "class-mate", "worshipper" oder "Neighbour" lauten kann. Um den 4. Juli herum nutzten sie vorübergehend den amerikanischen Unabhängigkeitstag als Aufhänger für die Mails.
(http://images.pcwelt.de/images/pcwelt/bdb/85542/800x.jpg)
Der englische Text fordert die Empfänger auf, einen Link anzuklicken oder diesen in den Browser zu kopieren. Der zeigt direkt und offensichtlich auf eine IP-Adresse. Das allein sollte die Empfänger an sich schon misstrauisch machen. Wer den Link aufruft, landet auf einer Seite, die mittels Javascript den Browser ermittelt und dann, wenn vorhanden, einen passenden Exploit zum Einschleusen von Malware anwendet.
Der eingeschleuste Schädling ist ein Downloader (ecard.exe), der weitere Malware nachlädt. Diese verwandelt den Rechner dann in einen so genannten Zombie, also in einen Teil eines Botnets, ein Netzwerk fremdgesteuerter PCs, die Spam versenden, Malware beherbergen und/oder DoS-Angriffe ausführen.
Die Programmierer der Sturm-Wurm-Bande entwickeln ihre Schädlinge ständig weiter. So kommen nicht nur in sehr kurzen Intervallen neue Varianten heraus, die die Erkennung durch Virenscanner vermeiden sollen. Inzwischen haben sie ihren Machwerken auch beigebracht, virtuelle Maschinen wie VMware oder Microsofts Virtual PC zu erkennen. Sie sollen den Virenforschern der Antivirus-Firmen die Arbeit erschweren, indem sie in solchen virtuellen Umgebungen nicht laufen.
Die meisten Antivirus-Hersteller haben sich zwar auf diese Malware eingestellt, einige haben jedoch noch immer Probleme damit. Bis Signatur-Updates erscheinen, die eine aktuelle Variante dieser Malware erkennen, sind längst neue Varianten im Umlauf.
Quelle : www.pcwelt.de
-
Anfang des Jahres wehte er noch als leichte Brise herein: der Sturm-Wurm. Inzwischen hat er sich jedoch tatsächlich zum ausgewachsenen Sturm entwickelt. Das mit dem Schädling aufgebaute Botnetz sei auf mehr als 1,7 Millionen Drohnen, also infizierte Rechner, angewachsen, meldet der Sicherheitsdienstleister SecureWorks. Das Netz diene bislang vorrangig dem Versand von Spam-Mails, könne jedoch auch für DDoS-Angriffe gegen Unternehmen oder gar Länder eingesetzt werden, schreibt das Unternehmen.
Zwischen Januar und Mai dieses Jahres konnte SecureWorks 71.342 Angriffe mit dem Sturm-Wurm feststellen, äußert der Sicherheitsforscher Joe Stewart. Seit Juni habe die Firma jedoch 20.200.101 Angriffe abgewehrt. Auch die Zahl infizierter Rechner, von denen die Angriffe mit E-Mails ausgingen, sei dramatisch angestiegen: Während Anfang des Jahres bis Ende Mai lediglich knapp 3000 Rechner infiziert waren, stieg die Zahl im Juni und Juli auf insgesamt 1,7 Millionen Drohnen an. SecureWorks mutmaßt, dass der Botnetzbetreiber das Netzwerk deshalb so weit ausgebaut habe, damit er es anderen Hackern vermieten oder Angriffe ausführen könne.
Laut McAfee sei der enorme Anstieg an infizierten Rechnern auf die Social-Engineering-Taktik der Schädlingsbastler zurückzuführen, die etwa vermeintliche Grußkarten-Mails mit infizierten Dateianhängen und Links auf Webseiten verschickt haben, die Schwachstellen im Webbrowser der Anwender ausnutzten. Der Antivirenhersteller vermutet das Sturm-Wurm-Botnetz auch hinter den kürzlich versendeten Spam-Mails, die als Dateianhang RAR-Archive mit einer Textdatei enthielten. Aktuelle Versionen des Schädlings nutzen McAfee zufolge ungewöhnliche Ansätze, um sich im System zu verankern. Anstatt sich einfach über die Autostart-Einträge in der Registry einzunisten, infizieren die aktuellen Fassungen die Datei tcpip.sys und hängen Code zum Laden des Schädlings an den Treiber an. McAfee spricht dabei von einem Trend, dem Schädlinge zunehmend folgen, um nach dem Rechnerneustart geladen zu werden.
Als Schutz vor dem Schädling empfiehlt SecureWorks, einerseits Vorsicht bei E-Mails mit vermeintlichen Grußkarten im Gepäck beziehungsweise als Link oder mit Katastrophenmeldungen walten zu lassen. Als weitere Maßnahme solle man Peer-to-Peer-Verkehr blockieren, da der Sturm-Wurm sich mit weiteren Botnetz-Drohnen mittels des eDonkey-Protokolls verbinde. Wie man das anstellt, lässt SecureWorks jedoch offen; das eDonkey-Protokoll ist nicht auf bestimmte Netzwerk-Ports beschränkt.
Quelle : www.heise.de
-
Die Sturm-Wurm-Bande variiert ständig ein wenig ihre Taktik, bleibt jedoch bei dem offenbar recht erfolgreichen Verbreitungsweg über Spam-artig verschickte, vorgebliche Grußkarten-Mails.
Die seit Jahr und Tag existierenden, legitimen Online-Postkartendienste stehen ihrer wohl bislang größten Herausforderung gegenüber. Seit Monaten überflutet die Sturm-Wurm-Bande die Mailboxen von Internet-Nutzern weltweit mit vorgeblichen Grußkarten-Mails. Viele Anwender sind mittlerweile aus gutem Grund misstrauisch gegenüber Mails, die einen Link zu einem Online-Gruß enthalten. Das gefährdet jedoch die Existenz der legitimen Dienste, die sich rasch ein neues Modell für ihre Online-Grüße ausdenken müssen - eines, das ohne Links in Mails auskommt.
Die Sturm-Wurm-Bande hat mit ihren Schädlingen der Nuwar-/Zhelatin-Familie ("Sturm-Wurm") in den letzten Monaten ein riesiges Botnet mit mehr als einer Million Zombies aufgebaut. Diese verbreiten sowohl vorgebliche E-Card-Mails als auch gewöhnlichen Aktien-Spam. Die Grußkarten-Taktik scheint nach wie vor erfolgreich zu sein. Um Spam-Filter und Antivirus-Software auszutricksen, die solche Mails abfangen, verändern die Malware-Spammer von Zeit zu Zeit ihre Mails ein wenig. Die Malware-Dateien selbst werden ohnehin in sehr kurzen Intervallen neu generiert.
In dieser Woche haben sie außerdem auch die verlinkten Websites ein wenig umgestrickt. Wer mit einem Browser auf die Seite geht, den sie nicht mit einem Exploit zum Einschleusen ihrer Malware ausnutzen können, erhält nun die Aufforderung eine angeblich notwendige Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren.
Diese sollen sie gleich von derselben Seite herunter laden. Die derart angebotene Datei "msdataaccess.exe" ist ein Downloader, der den PC mit nachgeladener Malware verseucht und in eine fremdgesteuerte Spam-Schleuder verwandelt. Der Rechner ist fortan Teil des über P2P-Techniken kontrollierten Sturm-Wurm-Botnets.
Dieses Botnet setzt sich zudem heftig zur Wehr, wenn etwa Universitäten versuchen ihre Netzwerke nach infizierten Zombie-PCs zu scannen. Das Botnet reagiert darauf mit lange andauernden DDoS-Angriffen (Distributed Denial of Service) auf den Scan-Rechner, an denen weltweit verteilte Zombies beteiligt sind.
Quelle : www.pcwelt.de
-
Die Sturm-Wurm-Bande hat einmal mehr ihre Taktik geändert. Nachdem mehrere Monate lang vorgebliche Grußkarten-Mails die Mailboxen verstopften, verbreiten die Spam-Schleudern nun Links zu angeblichen Fotos vernachlässigter Frauen.
Mit den seit Monaten notorischen E-Card-Mails scheint es vorbei zu sein. Die Betreiber legitimer Grußkartendienste können aufatmen. Am letzten Freitag hat die so genannte Storm-Worm-Gang eine neue taktische Variante eingeführt. Sie hatten bereits in den letzten Wochen mehrfach kleine Änderungen vorgenommen, indem sie den Aufbau der vorgeblichen Grußkarten-Mails sowie der verlinkten Web-Seiten variierten. Jetzt haben sie sich auf die Verbreitung von Links zu angeblichen Fotos einsamer Damen verlegt.
Die Mails enthalten meist fast keinen Text und kommen mit einem Betreff wie:
"Lonely? Me too. Look what I like to do when I get lonely."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."
Im Text dieser Mails heißt es dann nur noch lapidar "click http://<IP-Adresse>/". Andere Varianten kommen ohne Betreff und einer der oben genannten Sprüche steht im Mail-Text. Die verlinkten Websites versuchen weiterhin anfällige Browser, vor allem den Internet Explorer, durch Exploit-Code für bekannte Sicherheitslücken zum Einschleusen von Malware aus der Nuwar-/Zhelatin-Familie auszunutzen.
Wenn kein passender Exploit im Repertoire ist, erscheint eine Seite mit der Aufforderung eine Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren. Dazu bietet die Seite eine Datei "msdataaccess.exe" an, einen Downloader für die Bot-Software der Storm-Worm-Gang. Dieser lädt weitere Malware nach, die den Rechner in das Botnet der Sturm-Wurm-Bande eingliedert und ihn in eine fremdgesteuerte Spam-Schleuder umfunktioniert.
Quelle : www.pcwelt.de
-
Die so genannte Storm-Worm-Gang hat erneut ihre Taktik geändert. Die Spam-artig versandten Mails enthalten nunmehr angebliche Anmeldedaten für Community-Websites - die Links führen jedoch wie bisher zu Malware-Sites.
Erst kurz vor dem letzten Wochenende hatte die Sturm-Wurm-Bande ihre über mehrere Monate betriebene Masche vorgeblicher Grußkarten-Mails aufgegeben und sich neuen Themen zugewandt. Bereits gestern haben sie erneut das Thema gewechselt und versenden nunmehr vorgebliche Anmeldebestätigungen für Community-Sites. Die Mails enthalten fiktive Zugangsdaten und einen Link zu einem von vielen nur vorübergehend erreichbaren Web-Servern.
Die Links zeigen wie gehabt ganz offen auf eine IP-Adresse - ohne jeden Verschleierungsversuch. Die neue Masche mit den Login-Daten ist jedoch ebenso tückisch wie Erfolg versprechend. Auch misstrauischere Naturen werden die Gefahr nicht bereits beim Klick auf den Link vermuten. Wenn die Neugier siegt, etwa weil eine Website wie "Ringtone Heaven" oder "WebTunes" lockt, landet das Opfer auf einer Seite, die den verwendeten Browser ermittelt und sogleich passenden Exploit-Code lädt.
Wird der Browser als nicht angreifbar erkannt, lädt der Web-Server eine Seite, die zum Download eines "Secure Login Applet" auffordert. Anklicken des angebotenen Download-Links schaufelt eine Datei namens "applet.exe" auf die Festplatte, bei der es sich um Malware handelt.
So wird ein Schädling aus der Nuwar-/Zhelatin-Familie eingeschleust, der den PC in eine fremdgesteuerte Spam-Schleuder verwandelt. Er wird als so genannter Zombie Teil eines mittlerweile weit über eine Million Rechner umfassenden Botnets. Die in den Mails verlinkten Web-Server sind meist nur für wenige Stunden erreichbar. In dieser Zeit werden die EXE-Dateien im 30-Minuten-Takt automatisch neu gepackt, um die Erkennung durch Antivirus-Programme zu erschweren.
Quelle : www.pcwelt.de
Siehe auch hier : http://www.dvbcube.org/index.php?topic=21991.0
-
Die Sturm-Wurm-Bande setzt inzwischen offenbar auf eine Doppelstrategie beim Mail-Versand. Es werden sowohl vorgebliche Grußkarten-Mails verschickt als auch Mails mit scheinbaren Links zu YouTube.
Am Ende der letzten Woche hatte es noch so ausgesehen, als hätten sich die Versender einfach wieder auf die über mehrere Monaten bewährte Masche mit vorgeblichen Grußkarten-Mails besonnen. In Spam-artig verbreiteten Mails werden seitdem wieder falsche Grüße versandt, die Links auf Malware-haltige Websites enthalten. Diese Mails kommen mit einem Betreff wie zum Beispiel "You Have An Ecard", "A card for you" oder "Here is Your Ecard".
Inzwischen haben die Mail-Versender komplett auf HTML-Mails umgestellt. Dadurch ist das Link-Ziel in einer Mail nicht mehr so offensichtlich. Erst bei genauerer Betrachtung stellt sich heraus, dass die Links wie gehabt auf IP-Adressen zeigen. Auch die neue Masche der Sturm-Wurm-Bande benutzt diese Methode, verwendet jedoch YouTube als Köder.
Die neueren Mails werden mit einem Betreff wie "Where did you take that?", "sheesh man, what are you thinkin", "HAHAHAHAHAHA, man your insane!" oder auch "ROTFLMAO, who is that your with?" verbreitet. Der Text weist auf ein angebliches YouTube-Video hin, das dem Mail-Empfänger wohl peinlich sein sollte. Der sichtbare Link-Text lautet dann zum Beispiel "", tatsächlich jedoch zeigt der Link wieder einmal auf eine IP-Adresse.
Die verlinkten Websites liegen auf Zombie-PCs im Botnet der Sturm-Wurm-Bande und zeichnen sich durch eine recht kurze Lebensdauer aus. Wer dem Link folgt und die Seite im Internet Explorer öffnet, läuft Gefahr seinen Rechner mit Malware zu verseuchen. Automatische Scripte ermitteln den Browser und liefern passenden Exploit-Code, der Sicherheitslücken im Browser ausnutzt, um Malware aus der Familie Nuwar/Zhelatin einzuschleusen.
Wer mit einem Browser auf die Seite geht, für den kein geeigneter Exploit bereit liegt, wird zum manuellen Download der Malware aufgefordert, inzwischen mit dem Dateinamen "video.exe". Die Seite zeigt sogar ein YouTube-Logo, um die Glaubwürdigkeit des Köders zu erhöhen. Wie schon seit Monaten werden die derart mit Malware verseuchten Rechner als so genannte "Zombies" in das Botnet der Täter eingegliedert und zu einer fremdgesteuerten Spam-Schleuder umfunktioniert.
Quelle : www.pcwelt.de
-
"Dude, what if your wife finds this? - Man you have got to tell me where you picked her up. I saw this on the web, it has to be you. see for yourself... http://www.youtube.com/watch?v=xxxxxxxxx" – solche und ähnliche Blog-Einträge tauchen derzeit massenhaft vor allem auf Googles Blogspot auf. Die Einträge stammen von neuen Varianten des Sturm-Wurm-Trojaners, der nun auch in der Blogosphäre nach Opfern sucht.
Bereits am vergangenen Wochenende vollzog sich der Wechsel von Grußkarten-Mails mit Schädling im Anhang hin zu der YouTube-Masche. Die englischsprachigen E-Mails enthalten einen vermeintlichen Link auf ein YouTube-Video, der den Anwender jedoch zu einer numerischen IP-Adresse führt. Auf der Seite befindet sich ein YouTube-Logo und der Hinweis, dass der Download in wenigen Sekunden starten solle, gegebenenfalls solle man dem Link zum angeblichen Video auf der Seite von Hand folgen. Der Download enthält allerdings mitnichten ein YouTube-Video, sondern hinter der Datei video.exe verbirgt sich eine Sturm-Wurm-Variante. Eine weitere neue Variation gibt laut Sophos vor, ein bislang unveröffentlichtes Musikvideo auf YouTube zu verlinken.
Jetzt sind auch Einträge in Blogs aufgetaucht, die dieselben Texte und Links enthalten wie die YouTube-Schädlings-Mails. Auch hier steckt hinter dem vermeintlichen YouTube-Link eine numerische IP-Adresse. Eine Suche mit Google nach den typischen Betreff-Zeilen der Mails mit vermeintlichen YouTube-Links liefert zahlreiche "verseuchte" Blog-Einträge. Die Links auf das vermeintliche Video führen zumeist ins Nichts, da sie offenbar dynamisch vergebene IP-Adressen von befallenen Rechnern referenzieren und diese Rechner inzwischen entweder offline sind oder bereits eine andere IP-Adresse zugewiesen bekommen haben. Falls man doch auf einen funktionierenden Link trifft, sollte man den Download unbedingt vermeiden, um nicht Gefahr zu laufen, seinen Rechner zu infizieren.
Wie der Sturm-Wurm Einträge in den Blogs vornehmen kann, ist allerdings noch unklar. Bislang sind etwa automatische Blog-Spam-Werkzeuge wie xRumer bekannt, die zahlreiche Sicherheitsmechanismen wie Captchas und Anmeldungen aushebeln können, um Spam-Kommentare in Foren und Blogs einzustellen – xRumer ist für 450 US-Dollar zu haben. Allerdings handelt es sich bei den Einträgen des Sturm-Wurms in den Blogs nicht um Kommentare, sondern um echte Blog-Einträge. Möglicherweise hat der Trojaner Zugangsdaten zu den Blogs auf infizierten Rechnern ausgespäht.
Um sich vor einer Infektion mit dem Sturm-Wurm zu schützen, sollten Anwender beim Öffnen von E-Mails Vorsicht walten lassen und etwaige Dateianhänge nicht ausführen. Sie sollten ebenfalls bei Links in E-Mails kritisch sein. Weiterhin sollten alle Sicherheitsupdates installiert sein und ein aktuelles Antivirenprogramm zum Einsatz kommen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Anti-Viren-Seiten von heise Security.
Quelle und Links : http://www.heise.de/newsticker/meldung/95161
-
Das Botnet der Sturm-Wurm-Bande hätte inzwischen mehr Rechenleistung als die Top 10 der Supercomputer zusammen, wenn man die Zombie-Rechner gemeinsam an einer Rechenaufgabe arbeiten ließe.
Die Größe des von der Storm-Worm-Gang aufgebauten Botnets wird von Sicherheitsfachleuten auf eine bis zehn Millionen Zombie-PCs geschätzt. Geht man bei der durchschnittlichen Ausstattung eines dieses Computer von einer CPU mit 2 bis 3 GHz und 1 GB RAM aus, schlägt das Sturm-Wurm-Botnet den derzeit leistungsstärksten Supercomputer, den IBM BlueGene/L, um Einiges. Zu dieser Einschätzung kommt jedenfalls Prof. Peter Gutmann von der Universität Auckland in Neuseeland.
Die Nummer 1 der Top-500-Liste der stärksten Supercomputer verfügt über 128.000 Prozessorkerne und 32 TB RAM (1 Terabyte sind 1000 Gigabytes). Mit ein bis zehn Millionen GB Arbeitsspeicher und ebenso vielen CPU-Kernen liegt das Sturm-Wurm-Botnet weit darüber und schlägt die gesamten Top 10 der Liste gleich mit. So viel geballte Rechenleistung steht damit erstmals nicht unter der Kontrolle von Regierungsorganisationen oder Universitäten - sie befindet sich in der Hand von Kriminellen.
Dieses (zugegeben theoretische) Potenzial könnte von der organisierten Kriminalität benutzt werden, um etwa in großem Stil Passwörter zu knacken oder verschlüsselte Daten zu dechiffrieren. Geheimdienste hätten zweifellos ihre Freude an einem derart leistungsfähigen System - in der Hand von Kriminellen sollten uns diese Möglichkeiten jedoch noch weitaus mehr Sorgen machen.
Dass sich viele einzelne Heim-Computer zu einem äußerst leistungsfähigen Verbund zusammen schließen lassen, haben Projekte wie SETI@home bereits unter Beweis gestellt. Umso wichtiger wäre es, dass jeder, der mit seinem Windows-PC online ist, diesen so gut es eben geht vor Malware-Befall schützt.
Quelle : www.pcwelt.de
-
Die neueste Masche der Sturm-Wurm-Bande sind Mails, die potenzielle Opfer auf Websites mit vermeintlichen Spiele-Downloads locken sollen. Außerdem verbreiten bereits rekrutierte Zombie-Rechner massenhaft dubiose Jobangebote.
Das Botnet der Storm-Worm-Gang wird fleißig weiter ausgebaut. Die aktuelle Mail-Kampagne versucht potenzielle Opfer auf grafisch vergleichsweise aufwändig gestaltete Websites zu locken, wo sie sich ein vermeintliches Spiel herunter laden sollen. Die Mail kommen mit einem Betreff wie "Wow, cool games!", "1000+ Free Games!", "GAMES! GAMES!" oder auch "The internet just got better". Sie enthalten meist nur den Text "Enjoy" sowie einen Link auf eine IP-Adresse.
Die verlinkten Websites sind alle identisch und zeigen im Vergleich zu früheren Kampagnen recht viele Bilder. Damit soll eine Download-Site für kostenlose Spiele vorgetäuscht werden. Alle Links auf der Seite zeigen allerdings auf die selbe Datei namens "ArcadeWorld.exe". Dabei handelt es sich um ein Trojanisches Pferd aus der Sturm-Wurm-Familie (Nuwar, Peacomm, Tibs, Zhelatin). Die Web-Seiten enthalten im Gegensatz zur vorherigen "NFL-Kampagne" jetzt wieder Javascript-Code, mit dem Sicherheitslücken im Browser ausgenutzt werden sollen.
Laut Nicolas Falliere von Symantec Security Response ist eine derzeit zu beobachtende Welle von Spam-Mails, die Jobs als Geldwäscher für Kriminelle anbieten, ebenfalls auf das Botnet der Sturm-Wurm-Bande zurück zu führen. Sie enthalten Links auf eine Website, auf der ein "Supplier" unverblümt eine Provision von 10 Prozent für das "Waschen" von ergaunertem Geld anbietet.
Eine weitere, für die Sturm-Wurm-Bande neue Methode ist das Kompromittieren legitimer Websites. Haben sich die Täter bislang vor allem durch eine große Zahl kurzlebiger eigener Websites auf Botnet-Rechnern hervor getan, berichtet das Sicherheitsunternehmen Websense nun über einen erfolgreichen Angriff auf eine Website der Republikanischen Partei in den USA. Die Seiten sind mit einem am Ende eingefügten Iframe versehen worden, der schädlichen Code aus der Sturm-Wurm-Familie lädt. Inzwischen ist zumindest diese Website wieder sauber.
Quelle : www.pcwelt.de
-
Die nächste Welle von Malware-Spam soll potenzielle Opfer auf eine präparierte Website locken, die den Download einer vorgeblichen P2P-Software anbietet.
Zwar sind bislang noch nicht sehr viele Mails der Sturm-Wurm-Bande aufgetaucht, die Welle rollt jedoch an. Das Botnet ist vorbereitet ständig Websites mit neuen IP-Adressen bereit zu stellen, die neue Schädlingsvarianten ausliefern. Zielscheibe der neuen Kampagne sind vorwiegend Nutzer von P2P-Dateitauschdiensten.
(http://images.pcwelt.de/images/pcwelt/bdb/90230/800x.jpg)
Die Mails der Sturm-Wurm-Bande sind regelmäßig daran zu erkennen, dass sie nur wenig Text und einen Link enthalten, der direkt auf eine IP-Adresse zeigt. Der Betreff der aktuellen Malware-Spams lautet zum Beispiel: "here is the music you wanted", "man here is the link", "you have go tot get this", "here is the krackin link", "krackin download" oder auch "check it out".
In der aktuellen Fassung bieten die darin verlinkten Websites unter dem Titel "Krackin - The Global Sharing Network" eine vorgebliche P2P-Software namens "Krackin" an. Die angebotene Datei "krackin.exe" ist eine neue Fassung des Sturm-Bots aus der Malware-Familie Nuwar/Peacomm/Zhelatin. Ganz falsch ist die Bezeichung "P2P-Software" jedoch auch nicht - immerhin nutzt das Sturm-Botnet intern eifrig P2P-Techniken, neuerdings sogar mit verschlüsseltem Datenverkehr.
Auch wer die angebotene Datei nicht herunter lädt und startet, ist in Gefahr, wenn er die Website öffnet. Mehrfach verschleierter Javascript-Code auf Basis des Angriffs-Kits "MPack" wartet darauf Sicherheitslücken im Browser ausnutzen zu können, um Malware (die so genannte "Payload") einschleusen zu können.
Quelle : www.pcwelt.de
-
Kaum ein Tag vergeht, ohne dass Sicherheits-Experten neue Varianten des "Sturm-Wurms" melden. Zeitweise wurden gar Befürchtungen laut, dass das Bot-Netzwerk der Sturm-Wurm-Urheber über 50 Millionen umfassen würde. Nach Ansicht des Sicherheits-Experten Brandon Enright, der sich ausführlich mit dem Sturm-Wurm befasst hat, ist diese Zahl extrem übertrieben. Enright zufolge ist die Sturm-Wurm-Flut mittlerweile nicht viel mehr, als eine kleine Welle.
Millionen infizierte Rechner, ein Botnet mit über 50 Millionen PCs und damit mehr Rechenleistung, als jeder Supercomputer, Großangriffe auf noch unbekannte Ziele - die Liste der Mutmaßungen rund um den "Sturm-Wurm" ist lang. Brandon Enright, Sicherheits-Experte bei UC San Diego hat sich seit Juli dieses Jahres eingehend mit der Malware befasst und präsentierte seine Ergebnisse auf der Toorcon Hacker-Konferenz in San Diego und gab Entwarnung. Dies meldet der IDG News Service.
Der Sturm-Wurm ist im eigentliche Sinne kein Wurm, sondern ein Netzwerk infizierter Rechner, die zentral über das Overnet P2P-Protokoll kontrolliert werden. Enright hat eigenen Angaben zufolge eine Software entwickelt, die das Sturm-Netzwerk durchforstet. Daher ist er auch der Ansicht, relativ genau abschätzen zu können, wie groß das Netzwerk wirklich ist. Einige Experten gingen bislang davon aus, dass das Sturm-Netzwerk über 50 Millionen Rechner umfassen könnte, was ein durchaus beunruhigender Wert wäre. Die tatsächliche Zahl liegt laut den Ergebnissen von Enright jedoch weit darunter. So habe der Sturm-Wurm im Juli 1,5 Millionen Rechner infiziert, davon seien rund 200.000 jederzeit erreichbar gewesen. Insgesamt habe der Sturm-Wurm seit Erscheinen vor rund neun Monaten laut Schätzungen von Enright weltweit 15 Millionen PCs infiziert. Der Großteil davon dürfte mittlerweile aber mittels Antiviren-Software gesäubert sein.
Seit Juli geht es für den Sturm-Wurm zudem abwärts, so Enright. Zu diesem Zeitpunk haben die Antiviren-Hersteller ihre Bemühungen bei der Erkennung des Sturm-Wurms und dessen Varianten intensiviert, was erkennbar Früchte getragen hat. Zudem habe Microsoft am 11. September die Signatur des Sturm-Wurms seinem Malicious Software Removal Tool hinzugefügt. Quasi über Nacht sei dann die Zahl der Neuinfektionen um 20 Prozent gesunken, so Enright.
Die Zeiten des Sturm-Wurms sind vorbei
Aktuell beträgt die Größe des Sturm-Netzwerks laut Enright nur noch ein Zehntel des Maximums. So seien nun nur noch 20.000 Rechner jederzeit erreichbar, insgesamt soll das Netzwerk rund 160.000 PCs umfassen - Tendenz sinkend: "Die Größe des Netzwerks sinkt recht schnell und recht konstant", so Enright.
Der Sturm-Wurm erhielt seinen Namen, da er im Januar mit Meldungen über schwere Stürme über Europa zum ersten Mal auf Opfersuche ging. Anwender, die auf die angehängte Datei (Full Story.exe oder video.exe) klickten, installierten damit die Malware. Der betreffende Rechner wurde in das Botnetz integriert. In der Folge variierten die Urheber ihre Malware-Mails, beispielsweise, indem sie MP3s in den Anhang packten, oder sie als Grußkarten-Mails tarnten.
Das Botnet selbst wird laut Enright hauptsächlich dazu verwendet, so genannten "Pump and Dump"-Spam zu versenden. Dabei werden an sich wertlose Aktien (Penny Stocks) als Geheimtipp beworben. Die Urheber solcher Spam-Mails haben sich zuvor günstig mit den beworbenen Aktien eingedeckt und hoffen darauf, dass eine Reihe von Anwendern nach Erhalt der Spam-Mail ebenfalls in diese Anteilsscheine investiert. Den dann erfolgenden Kurssprung nutzen die Spammer, um mit Gewinn wieder auszusteigen.
Vollkommen desinteressiert zeigen sich die Sturm-Wurm-Autoren aber offensichtlich an Identitätsdiebstahl. Obwohl scheinbar sensible Daten auf Testrechnern von Enright vollkommen schutzlos und offen bereitstanden, ließ sie der Sturm-Wurm links liegen. "Glauben Sie es oder nicht, Kreditkartennummern sind nicht allzu viel wert", so Enright. "Es ist viel besser, Geld mittels Pump and Dump zu verdienen."
Quelle : www.pcwelt.de
-
Die Sturm-Wurm-Bande besinnt sich zwischendurch offenbar immer wieder mal auf ihre bislang erfolgreichste Masche und versendet vorgebliche Grußkarten-Mails. Für die Motive bedienen sie sich auf regulären Grußkarten-Websites.
Die Erfolgsgeschichte des Sturm-Botnets neigt sich nach Einschätzung von Sicherheitsforschern wie Brandon Enright von der Universität Kalifornien dem Ende zu. Während die Masse der fremdgesteuerten Zombie-PCs Aktien-Spam verbreitet oder eine vorgebliche P2P-Software propagiert, werden immer wieder auch falsche Grußkarten-Mails eingesetzt. Damit hatte die Sturm-Wurm-Bande im Sommer ihre größten Erfolge erzielt.
Die Mails kommen zurzeit mit einem Betreff wie "Here's your ecard!", "Your ecard is waiting!" oder "Your ecard greeting is available." sowie dem Text "This Psycho Cat Card has been sent to you." in die Mailbox. Der enthaltene Link zeigt wie üblich auf eine IP-Adresse. Die recht kurzlebigen Mini-Web-Server auf den Zombie-PCs des Botnets liefern eine Seite mit einer Flash-Animation aus, die eine kichernde Katze zeigt. Diese Flash-Datei haben die Botnet-Betreiber von der echten Grußkarten-Website "SuperLaugh.com" kopiert.
(http://images.pcwelt.de/images/pcwelt/bdb/90597/800x.jpg)
Die Web-Seiten enthalten mehrfach verschleierten Javascript-Code, der Sicherheitslücken im Browser ausnutzen soll, um Malware einzuschleusen. Außerdem wird eine Datei namens "superlaugh.exe" zum Download angeboten, die den Rechner zu einem Teil des Sturm-Wurm-Botnets macht, falls sie ausgeführt wird.
Unter der Motorhaube habe die Malware-Programmierer einige Veränderungen eingeführt. Wie Rachit Mathur von McAfee im Blog der AVERT Labs berichtet, haben sie die Dateinamen geändert, mit denen sich die Botnet-Malware im System einnistet. Bislang hießen die Dateien "spooldr.exe", "spooldr.sys", und "spooldr.ini". Anfang dieses Jahres hatte es noch mit "wincom32.sys" und "game0.exe" begonnen.
Neuere Exemplare der Sturm-Malware verwenden nun die Dateinamen "noskrnl.exe", "noskrnl.sys" und "noskrnl.config". Dadurch besteht für diejenigen, die sich selbst auf die Jagd nach verdächtigen Dateien auf ihrem Rechner machen, die Gefahr einer Verwechslung mit der wichtigen Systemdatei "ntoskrnl.exe". Neu ist außerdem, dass der Schädling versucht, sich auf Disketten zu kopieren.
Quelle : www.pcwelt.de
-
Mit einer neuen, der Jahreszeit angepassten Spam-Kampagne begeht die Sturm-Wurm-Bande das Halloween-Fest. Allerdings sind den Programmierern beim Feiern Fehler unterlaufen, sodass ein neues Design nötig wurde.
Alle Jahre wieder endet der Oktober mit Halloween, seit einigen Jahren auch wieder in Europa. Auch die Malware-Szene feiert mit - namentlich die Sturm-Wurm-Bande. Deren neue Mail- und Web-Kampagne hat jedoch am Dienstagabend mit einem Fehlstart begonnen. Die ursprünglich für die auf ständig wechselnden Zombie-PCs des Sturm-Botnets beheimateten Websites vorgesehene Frame-Konstruktion funktionierte nicht richtig und brachte zudem lange Ladezeiten mit sich. Da musste schnell was Neues her.
(http://images.pcwelt.de/images/pcwelt/bdb/91197/800x.jpg)
Die gegen Mitternacht erneuerten Websites bestehen nun nicht mehr aus einem Frameset und einer anderswo geklauten Animation. Vielmehr zeigen sie ein auf mehrere Dateien aufgeteiltes Halloween-Motiv, das deutlich schneller geladen wird. Der untere Teil der Seite enthält einen Download-Link für die Sturm-Malware, die den passenden Dateinamen "halloween.exe" trägt.
Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie zum Beispiel "Happy Halloween", "Party on this Halloween", "To much fun", "Nothing is funnier this Halloween" oder "Dancing Bones". Die gewohnt kurz gehaltenen Mail-Texte bestehen aus Zeilen wie "Come watch the little skeleton dance". Sie enthalten den üblichen Link auf eine der vielen IP-Adressen der Botnet-Rechner. Dort erwartet Neugierige unter dem Titel "The Dancing Skeleton" die oben beschriebene Website.
Diese Website enthält außerdem mehrfach verschleierten Javascript-Code, der versucht, einen zum Rechner des Besuchers passenden Exploit anzuwenden. Wie die "halloween.exe" reiht der eingeschleuste Programm-Code den Computer des Besuchers in die Zombie-Armee des Sturm-Botnets ein.
Quelle : www.pcwelt.de
-
Die Sturm-Wurm-Bande verschickt bei ihrer neuesten Malware-Kampagne Mails mit Links auf eine Reihe von Geocities-Seiten, die zur Weiterleitung auf die eigentliche Angriffsseite dienen.
Auf Yahoo kommen stürmische Zeiten zu, denn der zu Yahoo gehörende Anbieter kostenloser Homepages, Geocities, dient derzeit als Werkzeug für die neueste Sturm-Wurm-Flut. Die Malware-Spammer versenden Mails, die einen Link auf eine von vielen Geocities-Seiten enthalten. Die enthält verschleierten Javascript-Code, der eine Weiterleitung auf eine Angriffsseite der Sturm-Wurm-Bande bewirkt. Darüber berichten auch die Malware-Forscher von Trend Micro in ihrem Blog.
Auf dieser Web-Seite wird eine Situation nachgebildet, die vielen Internet-Nutzer vertraut sein dürfte: es wird ein weißes Feld angezeigt, das ein grünes Puzzle-Teil enthält. Dies ist normalerweise ein typischer Hinweis darauf, dass dem Browser ein Plug-in fehlt, um den Multimedia-Inhalt anzuzeigen. Die Sturm-Wurm benutzt dies, um den Besucher zu nötigen ein "iPIX Plug-in" herunter zu laden und zu installieren. Die angebotene Datei heißt "iPIX-install.exe".
Hierbei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Es gliedert den PC auf diese Weise in die Reihen des Sturm-Botnets ein. Der Rechner kann somit zu einer fremdgesteuerten Spam-Schleuder oder unfreiwilliger Teilnehmer eines DDoS-Angriffs auf Web-Server werden.
Quelle : www.pcwelt.de
-
Mails, die vorgeblich von einem Privatdetektiv stammen, enthalten einen schädlichen Anhang, der angeblich ein aufgezeichnetes Telefonprotokoll sein soll. Hinter diesen Mails steckt offenbar die Sturm-Wurm-Bande.
Derzeit werden Spam-artig Mails verbreitet, deren Absender sich als Privatdetektiv ausgibt, der auf den Empfänger angesetzt sei. Er teilt dies dem vermeintlichen Spionageopfer mit und bietet freundlicherweise an auch seinen Auftraggeber zu nennen. Das will er jedoch erst in einer folgenden Mail tun. Um den misstrauischen Empfänger der Mail zu überzeugen, enthält die Mail ein mit einem Passwort verschlüsseltes RAR-Archiv, das ein aufgezeichnetes Telefonat enthalten soll.
Die Mails kommen mit unterschiedlichen, gefälschten Absenderangaben und einem Betreff wie "Danger", "I'm monitoring you", "We have tape of your conversation", "We monitor your privacy", "We're watching you", "Your phone is monitored", "attention", "important", "important for your live", "important information" oder "you're being watched". Am Ende des Textes steht das Passwort für das RAR-Archiv.
Der Dateiname des Anhangs lautet zum Beispiel "call1105-12.rar" und darin steckt eine Datei mit doppelter Endung, wie etwa "call1105.mp3 <viele Leerzeichen> .scr". Was also auf den ersten Blick wie eine MP3-Datei aussieht, ist tatsächlich eine EXE-Datei mit der für Bildschirmschoner gedachten Endung SCR. Unterstützt wird dieser Eindruck noch durch ein Dateisymbol des Windows Media Players.
Nach Ansicht von Symantecs Malware-Forscher Hon Lau, die er im Symantec-Blog Kund tut, muss das Trojanische Pferd, das in dieser Datei verbreitet wird, der Sturm-Wurm-Familie zurechnet werden. Eine zunehmende Anzahl von Antivirus-Herstellern scheint zu dem gleichen Ergebnis zu kommen, denn Bezeichnungen wie "Tibs", "Nuwar", "Peacomm" oder "Zhelatin" beziehen sich auf Sturm-Malware. Diese dient dem Aufbau oder besser dem weiteren Ausbau des Sturm-Botnets.
Quelle : www.pcwelt.de
-
Nachdem es bereits zu Halloween eine jahreszeitlich passende Sturmwurm-Variante gab, haben die Schöpfer des Schädlings nun zu Heiligabend eine Weihnachtsversion auf E-Mail-Postfächer losgelassen. Unter Überschriften wie "I love this Carol!", "Santa Said, HO HO HO" oder "Christmas Email" kursieren vom Storm-Bot-Network versandte, in Englisch gehaltene Mails; Sie versprechen dem Leser mit wenigen unverfänglichen Worten Stressabbau auf einer verlinkten Webseite mit einer harmlos aussehende URL.
Dort grüßen dann Damen in knapper rot-weißer Weihnachts-Unterwäsche, ähnlich wie man es am heutigen Tag auch auf der Titelseite von Deutschlands bekannt-berüchtigter Boulevard-Massenzeitung sieht. Das allein wäre nichts Besonderes. Allerdings versucht die in den Mails verlinkte Webseite den Anwendern einen Schädling in Form der ausführbaren Datei "stripshow.exe" unterzujubeln. Den erkannten in einem Kurztest von heise security lediglich die Scan-Engines von Kaspersky, F-Secure, Microsoft OneCare und Norton. Die Situation kann sich aber jederzeit ändern, da über FastFlux-Server alle paar Minuten ein anderes Schädlings-Binary verteilt wird.
Daher gilt auch an Weihnachten: Empfänger von E-Mails mit Dateianhängen oder Links auf Webseiten sollten Vorsicht walten lassen und die Dateien nicht ausführen. Außerdem sollte man auch im etwaigen Geschenke- und Gästetrubel das Mail-Programm, den Webbrowser und die installierte Antivirenlösung auf dem jeweils aktuellen Stand halten, damit die Schädlinge nicht durch Schwachstellen in älteren Versionen unbemerkt ins System eindringen können. Weitere Tipps zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise security.
Quelle : www.heise.de
-
Mit immer neuen Domains und ständig variierten Programmdateien hat die Storm-Gang auch über die Feiertage die Antivirus-Hersteller auf Trab gehalten. Die Sturm-Flut vorgeblicher Neujahrsgrüße hält weiter an.
Für Malware-Programmierer wie für Taxifahrer ist der Jahreswechsel keine Zeit der Besinnlichkeit sondern geschäftliche Hochsaison. Die Sturm-Wurm-Bande hat eine ganze Reihe von Domains registriert, auf die sie mit ihren Spam-Kampagnen verweist. Das Sturm-Botnet verbreitet auf der Suche nach neuen Opfern weiterhin massenhaft vorgebliche Neujahrgrüße.
(http://images.pcwelt.de/images/pcwelt/bdb/95586/800x.jpg)
Mit vielen unterschiedlichen Betreffzeilen von "A brand New Year" über "Happy 2008!" bis "Special New 2008 Year Wish" füllen Zweizeiler die Mailboxen weltweit. Die Links in den Mails verweisen stets auf eine von etwa einem Dutzend Domains, die für diesen Zweck registriert worden sind. Die Domain-Namen reichen von "familypostcards2008.com" bis "Santawishes2008.com". Jeder Aufruf einer solche Website führt zu einer anderen IP-Adresse und damit zu einem anderen Botnet-Rechner.
Wer einen solchen Link anklickt, findet auf der Web-Seite nur eine spärliche Textbotschaft: "Your download should begin shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run. Enjoy!". Beim Anklicken des Download-Links wird eine etwa 140 KB große Datei "happy_2008.exe" herunter geladen.
Wird diese geöffnet, installiert sie ein bereits etwas betagtes Rootkit und reiht den befallenen PC in die Zombie-Armee des Sturm-Botnets ein. Die zum Download angebotene EXE-Datei ist bei jedem Download geringfügig verändert, was die Erkennung durch Antivirus-Programme erschweren soll. Dies gelingt jedoch offenbar nur bedingt - etliche Virenscanner erkennen alle Varianten.
Quelle : www.pcwelt.de
-
Eine neu entdeckte Version des schon länger bekannten Nugache-Wurms bringt eine Reihe neuer Funktionen mit, die bislang vor allem bei einer auch als "Sturm-Wurm" bekannten Bot-Familie beobachtet wurden.
Die Schädlingsfamilie Nuwar/Peacomm/Zhelatin, besser bekannt als "Sturm-Wurm", feiert in diesem Monat ihren ersten Geburtstag. Anfang Januar 2007 war die erste große Welle des Malware-Spams gestartet worden. Sie nutzte vorgebliche Nachrichten über den Sturm "Kyrill" als Aufhänger, woraus der Spitzname "Sturm-Wurm" entstand. Die Sturm-Wurm-Bande hat seitdem ein sehr großes Botnet aufgebaut. Mögliche Konkurrenz entsteht ihr nun durch eine grundlegend überarbeitete Fassung des Wurms "Nugache", der inzwischen ähnliche Fähigkeiten mitbringt wie der Sturm-Wurm.
Nugache tauchte vor etwa zwei Jahren erstmals als IM-Wurm auf, der sich über Chat-Programme verbreitete. Inzwischen haben Malware-Programmierer, die dem notorischen Russian Business Network (RBN) zugerechnet werden, den Wurm gründlich aufgemöbelt. Nugache fügt infizierte Rechner in ein Botnet ein, das über P2P-Protokolle gelenkt wird. Statt eines zentralen Kontroll-Servers wird die Steuerung auf eine Anzahl wechselnder Botnet PCs verteilt, was die Überlebenschancen des Botnets erheblich verbessert.
Das Bot-Programm bringt nun auch eine Funktion zu seiner eigenen Verschlüsselung mit, mit der jede Kopie geringfügig variiert wird. Dadurch soll die Erkennung durch Virenscanner erschwert werden. In verschiedenen Blogs sind bereits manipulierte Einträge aufgetaucht, die Links zu präparierten Web-Seiten enthalten. Wer diese Links anklickt, läuft Gefahr, dass sein Computer zu einem ferngesteuerten Zombie-PC des Nugache-Botnets wird.
Diese Links werden nicht etwa von den Bloggern gesetzt - vielmehr werden die Blog-Einträge mit Hilfe eines automatischen Programms namens "Xrunner" eingestellt, die Schwachstellen der Blog-Software ausnutzt. Das Einfügen vieler Schlüsselbegriffe in den manipulierten Blog-Eintrag sowie die Verlinkung dieser Blogs untereinander soll vordere Plätze in den Trefferlisten von Suchmaschinen einbringen. Auch bei der Installation vorgeblicher Video-Codecs wird häufig Nugache-Malware eingeschleust.
Das Auftauchen des neuen Konkurrenten für die Sturm-Wurm-Bande hat nach Einschätzung von Paul Henry, Vizepräsident von Secure Computing, die Preise auf dem Markt für Spam-Versand in Bewegung gebracht. Inzwischen werden für eine Million versandter Spam-Mails nur noch 100 US-Dollar verlangt.
Quelle : www.pcwelt.de
-
Über die Weihnachtsfeiertage konnten die Macher des "Sturm-Wurms" die Größe des zugehörigen Botnets mehr als verdoppeln. Dabei spielten mehrere, unglückliche Umstände der Bande in die Hände.
Der "Sturm-Wurm" treibt mittlerweile seit einem Jahr sein Unwesen im Netz, ein Ende ist nicht absehbar. Über Weihnachten gelang es den Machern der Malware nun offenbar, ein zugehöriges Botnet gehörig auszubauen. Die Angriffswelle begann laut den Sicherheitsexperten von Spamhaus einen Tag vor Weihnachten. In den Mails wurden Anwender dazu verleitet, diverse Sites zu besuchen, auf der eine weihnachtlich angehauchte Strip-Show angeboten wurde. Anwender, die dem Link folgten und das Video heruntergeladen haben, wurden dann mit einer neuen Variante des Sturm-Wurms infiziert.
Insgesamt hatten die Macher der Malware rund 14 Websites registriert, über die der Wurm verbreitet wurde, erklärte Richard Cox, CIO von Spamhaus. Diese wurden allesamt bei dem russischen Domain-Registrar Nic.ru angemeldet. Problematisch wurde es, als die Experten versuchten, den Registrar auf die Malware-haltigen Sites aufmerksam zu machen, beziehungsweise deren Löschung zu erwirken. Denn der Registrar hatte über die Feiertage geschlossen, erst vergangenen Mittwoch wurde der Betrieb aufgenommen.
Um zusätzlich Zeit zu gewinnen, haben die Malware-Hintermänner laut Cox mit Nic.ru einen Anbieter ausgewählt, der über keine ausreichenden Bestimmungen über das Abschalten bösartiger Websites verfügt. Schließlich wurde für den Sturm-Wurm-Angriff eine leicht geänderte Version der Malware verwendet, die für Antiviren-Software schwerer auffindbar war, was für mehr Infektionen gesorgt haben dürfte, sagte Cox. Die mit Malware gespickten Websites sind mittlerweile offline genommen worden.
Dennoch hat sich die Aktion für die Sturm-Wurm-Macher offenbar gelohnt. Experten gehen davon aus, dass dem zugehörigen Botnet rund 25.000 neue PCs hinzugefügt werden konnten, davor soll das Netzwerk 20.000 PCs umfasst haben. Sinn und Zweck eines solchen Netzwerks ist in erster Linie Geld verdienen. Und genau dies versucht die Sturm-Wurm-Bande nun offenbar. Laut den Sicherheitsexperten von Fortinet wurde bereits damit begonnen, das Botnet an Phisher zu vermieten.
Quelle : www.pcwelt.de
-
Mehrere Hersteller von Antiviren-Software haben eine neue Welle des Sturm-Wurms gemeldet, die derzeit in die Postfächer schwappt. Mit den als Liebesbotschaft getarnten Mails scheinen sich die Virenautoren allerdings etwas vertan zu haben: Für Weihnachten ist es zu spät und für den Valentins-Tag erheblich zu früh. Sollten Anwender dennoch auf die Mail hereinfallen und auf den in der Mail enthaltenen Link klicken, so landen sie auf einer Webseite, auf dem ein großes Herz prangt. Anschließend wird dem Besucher eine Datei (WITH_LOVE.EXE) zum Download angeboten, in der der Wurm steckt.
Wer die angebotene Datei gestartet hat, dessen Windows-PC dürfte nun Mitglied eines Botnetzes sein. Selbst ein installierter Virenscanner bietet keinen ausreichenden Schutz, da die Hersteller mit den Virensignaturen nicht mehr hinterherkommen und nicht alle Produkte eine zuverlässige Verhaltensanalyse (Behavioral Blocking) aufweisen. Eventuell helfen Programme wie Norton Anti-Bot oder Trend Micros Beta-Version von RUBotted, Botnetz-Aktivitäten auf dem eigenen PC festzustellen.
In den vergangenen Monaten gab es zahlreiche, oft zur Jahreszeit passende Versionen des Sturm-Wurms: Zu Halloween versprachen die Mails, ein Skelett auf dem Bildschirm tanzen zu lassen, zu Weihnachten sollte dann die Datei stripshow.exe unbedeckte Haut auf den Monitor zaubern.
Es ist damit zu rechnen, dass der Sturm-Wurm auch in naher Zukunft Anwender in verschiedenen Varianten zu größeren Anlässen belästigen wird. Wahrscheinlich steht Ostern bereits auf der To-Do-Liste der Virenprogrammierer, möglicherweise tritt er bereits zum Super Bowl Sunday auf den Plan.
Wie immer gilt: Empfänger von E-Mails mit Dateianhängen oder Links auf Webseiten sollten Vorsicht walten lassen.
Quelle : http://www.heise.de
-
Über das Botnet der Sturm-Wurm-Bande werden Spam-Mails verbreitet, die Werbung für Online-Shops enthalten, in denen Medikamente feil geboten werden. Die Links in den Mails führen auf Weiterleitungsseiten, die auf Botnet-Rechnern liegen.
Botnets werden von ihren Betreibern gerne an Spammer vermietet, um über die fremdgesteuerten Zombie-PCs Spam-Mails zu verbreiten. Die Sturm-Wurm-Bande setzt allem Anschein nach neuerdings auf eine Strategie der Mehrfachnutzung. Die Zombie-PCs verbreiten Spam-Mails, dienen als Zwischenstation für Links zu den per Spam beworbenen Online-Shops und beherbergen auch weiterhin die Download-Seiten für die Sturm-Malware.
Forscher des Sicherheitsunternehmens Websense berichten im Blog der Websense Security Labs über die neue Taktik der Sturm-Wurm-Bande. Die vom Sturm-Botnet verbreiteten Spam-Mails enthalten einen Link nach dem Schema "http://<IP-Adresse>/<Unterverzeichnis>/", also etwa "http://123.123.123.123/name/". Die beim Anklicken des Links aufgerufene Seite liegt auf einem Zombie-PC des Botnets und leitet zur Website einer zweifelhaften Online-Apotheke weiter, die einen ganz normalen Domain-Namen hat.
Im Hauptverzeichnis des Web-Servers auf dem Zombie-PC (also "http://<IP-Adresse>/") liegt weiterhin die Download-Seite für die seit Mitte Januar laufende Malware-Kampagne der Sturm-Wurm-Bande. Dort gibt es zwar mittlerweile ein neues Bild mit ähnlichem Motiv wie zuvor, ansonsten hat sich jedoch nicht viel geändert.
Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.
Quelle : www.pcwelt.de
-
Die Sturm-Wurm-Bande hat sich offenbar etwas Neues ausgedacht, denn zunächst hat kein einziger Virenscanner die neuen Schädlingsvarianten erkannt. An den neuen Bildern auf den Botnet-Websites kann es ja kaum liegen.
Nach dem viel zu frühen Start ihrer Valentinstagkampagne Mitte Januar hat die so genannte Sturm-Wurm-Bande kurz vor dem richtigen Termin eine neue Spam-Kampagne aufgelegt. Dabei sind die Mails im Grunde unverändert geblieben - die in den Mails verknüpften Web-Seiten sind jedoch renoviert worden. Offenbar müssen sich die Programmierer der dort offerierten Malware ein paar Gedanken gemacht haben. Noch einen halben Tag, nachdem bereits Forscher der Antivirus-Hersteller Symantec und Trend Micro in ihren Blogs über die neue Sturm-Wurm-Welle berichtet hatten, hat kein einziger Virenscanner die Schädlinge erkannt.
(http://images.pcwelt.de/images/pcwelt/bdb/97926/800x.jpg)
Die neuen Websites auf den Zombie-Rechnern des Sturm-Botnets zeigen ein zufällig ausgewähltes von acht vorhandenen Bildmotiven zum Valentinstag an. Das Bild ist mit einer Datei namens "valentine.exe" verlinkt. Fünf Sekunden nach dem Aufruf einer solchen Seite wird der Download dieser Datei automatisch gestartet - es erscheint in der Regel ein entsprechender Dialog des Browsers.
Bei dieser EXE-Datei handelt es sich um die neueste Variante der Storm-Malware, eines so genannten Bots - gerne auch als "Sturm-Wurm" bezeichnet. Antivirus-Hersteller haben unterschiedliche Namen für diese Schädlinge: bei McAfee und Trend Micro heißen sie "Nuwar", bei Symantec "Peacomm", Sophos nennt sie "Dorf" und Kaspersky "Zhelatin", um nur ein paar Beispiele zu nennen.
Leider ist heute früh zunächst keiner dieser Namen in den Scan-Ergebnissen aufgetaucht. Kein einziger Virenscanner hat auch nur eine der zahlreichen Dateivarianten erkannt, die das Sturm-Botnet im Takt weniger Minuten neu generiert. Als erster Hersteller hat dann Sophos eine hinreichend allgemein gehaltene Erkennungsroutine entwickelt und ausgeliefert, um alle gesammelten neuen Sturm-Wurm-Varianten als solche zu erkennen.
Quelle : www.pcwelt.de
-
Ein Team von Forscher der Universität Bonn und der RWTH Aachen hat das berüchtigte Sturmwurm-Botnetz analysiert und dabei festgestellt, dass es keineswegs so perfekt ist, wie es immer schien. Im Gegenteil: Mit Software, die Georg Wicherski, Tillmann Werner, Felix Leder und Mark Schlösser entwickelt und zumindest teilweise veröffentlicht haben, ließe sich das Botnetz in kürzester Zeit eliminieren.
Seit zwei Jahren ist der Sturmwurm das Paradebeispiel für die technischen Fähigkeiten organisierter, krimineller Banden im Internet. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner, die den Befehlen eines Kontrollservers folgten und Peer-to-Peer-Techniken einsetzten, um neue Server zu finden. Selbst nach einer großen Reinigungsaktion durch Microsofts Malicious Software Removal Tool dürften noch grob geschätzt 100.000 Drohnen übrig sein. Damit ist das Sturmwurm-Botnetz für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Umso erstaunlicher ist es, dass es trotzdem nicht gelingt, dieses Netz still zu legen. Den Ergebnissen der Forscher zu Folge liegt das keineswegs an den technischen Finessen der Sturmwurm-Entwickler.
Die bisherigen Erkenntnisse über die eingesetzten Techniken des Sturmwurms stammen hauptsächlich aus Beobachtung des Verhaltens von infizierten Systemen. Um den Sturmwurm zu entzaubern, beschritten die Hacker einen anderen Weg. Sie haben große Teile des Client-Programms der Zombies aus dem Maschinencode zurückübersetzt und analysiert. Insbesondere die Funktionen zur Kommunikation mit den anderen Zombies und dem Server haben sie sich dabei genauer angesehen.
Mit diesem Hintergrundwissen konnten sie einen eigenen Client entwickeln, der sich derart in die Peer-to-Peer-Struktur des Sturmwurm-Netzes einklinkt, dass Anfragen anderer Zombies nach neuen Kommando-Servern ziemlich sicher an ihn geschickt wurden. Damit ist er in der Lage, den Zombies einen neuen Server unter zu schieben. Im zweiten Schritt analysierten die Forscher das Protokoll für die Befehlsübergabe. Dabei stellten sie fest, dass sich der Server erstaunlicherweise nicht bei den Clients authentifizieren muss und sie mit ihren Informationen in der Lage waren, einen einfachen Server aufzusetzen. Der konnte ihren Sturmwurm-Drohnen im Testlabor dann tatsächlich Befehle geben, die diese ausführten, etwa ein bestimmtes Programm von einem Server nachzuladen und auszuführen – zum Beispiel ein spezielles Reinigungsprogramm. Ein solches haben die Forscher dann auch gleich geschrieben.
Damit hatten sie eigentlich alle nötigen Grundkomponenten zusammen, um das Sturmwurm-Netz komplett zu eliminieren. Mit einer noch zu schreibenden Erweiterung für eine verteilte Desinfektion sollte sich auch ein Zombie-Netz aus mehr als 100.000 Drohnen auflösen lassen, ohne Gefahr zu laufen, dass ein zentraler Reinigungs-Server unter der Last oder eventuellen DDoS-Angriffen der Botnetz-Betreiber zusammenbricht.
Den letzten Schritt, das Ganze mit echten Zombies umzusetzen, vollzogen die Forscher dann allerdings nicht mehr. Denn aus rechtlicher Sicht ist ein solches Vorhaben alles andere als unproblematisch. So könnte in dem unerlaubten Zugriff auf fremde Rechner etwa eine strafbare Datenveränderung nach § 303a zu sehen sein. Danach ist es bei Androhung einer Freiheitsstrafe von bis zu zwei Jahren verboten, rechtswidrig fremde Daten zu löschen, zu unterdrücken, unbrauchbar zu machen oder zu verändern. Diese Vorschrift setzt allerdings einen Strafantrag des Betroffenen oder ein besonderes öffentliches Interesse an der Strafverfolgung voraus.
Neben strafrechtlichen Risiken besteht zudem die Gefahr von zivilrechtlichen Schadensersatzansprüchen durch die Besitzer der infizierten PCs. Denn bei einer solchen Aktion ist auch mit Kolateralschäden zu rechnen. So gäbe es ziemlich sicher Konstellationen, in denen die Reinigung fehl schlägt und Rechner vielleicht sogar anschließend nicht mehr starten. Die zu erwartenden Abwehrreaktionen der Botnetz-Betreiber könnten zu weiteren Schäden führen.
Auf der anderen Seite reden wir hier über Zombie-Rechner, die eine Gefahr für die Allgemeinheit darstellen. Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die jährlich viele Millionen durch Betrug und Erpressung abkassieren. Ohne sie wäre das Internet deutlich sicherer und sehr viel angenehmer. Da verwundert es schon, dass es keine Diskussion darüber gibt, welche rechtlichen Voraussetzungen man schaffen müsste, um diese Bedrohung aktiv aus der Welt schaffen zu können. Darauf, dass das technisch ohnehin nicht möglich wäre, können sich die Verantwortlichen jedenfalls nicht mehr zurückziehen.
Quelle : www.heise.de
-
Der als Nachfahre des so genannten Sturm-Wurms gehandelte Waledac-Wurm reist weiter auf den eingefahrenen Gleisen seines Ahnen. Vorgebliche Grußkarten-Mails zum Valentinstag sollen potenzielle neue Opfer ködern.
(http://images.pcwelt.de/images/pcwelt/bdb/1964850/800x.jpg)
Waledac grüßt zum Valentin
Der Sturm-Wurm, der 2007 und in der ersten Hälfte von 2008 mit falschen Grußkarten-Mails auf die Jagd ging, ist seit letzten Sommer von der Bildfläche verschwunden. Seine Nachfolge tritt der Wurm "Waledac" an, der sich ähnlicher Methoden bedient. Verschiedene Malware-Forscher gehen inzwischen sogar davon aus, dass hinter Waledac dieselben Personen stecken. Valentinsgrüße kennen wir jedenfalls schon vom Sturm-Wurm und die von Waledac sind sehr ähnlich.
Waledac hatte sich zuletzt als Verbreiter falscher Nachrichten über Barack Obama betätigt und dessen Rückzieher vom Amt des US-Präsidenten verkündet. Nachdem Waledac auch schon zu Weihnachten mit falschen Grußkarten-Mails aktiv war, geht er nun mit vorgeblichen Valentinsgrüßen auf die Jagd nach neuen Opfern.
Die Mails kommen mit einem Betreff wie "I belong to you", "I give my heart to you", "Wanna kiss you", "You are the ONE" und ähnlichen Liebesschwüren. Im bekannten knappen Sturm-Wurm-Stil folgt im Mail-Text ein Einzeiler mit einem Link zu einer von mehreren Websites. Dort erwartet den Besucher ein Bild mit verschiedenen Herzmotiven sowie die Aufforderung "Guess, which one is for you?" ( Rate, welches für Dich ist).
Das Bild ist mit dem Download einer EXE-Datei verknüpft, der beim Anklicken startet. Die wechselnden Dateinamen sind auch thematisch passend gewählt und reichen von "love.exe" über "meandyou.exe" und "onlyyou.exe" bis "you.exe". Es handelt sich in jedem Fall um eine knapp 400 KB große Kopie des Schädlings. Der setzt die Sicherheitseinstellungen des Internet Explorers herab, um den Rechner für weitere Angriffe zu öffnen, und breitet sich per Mail weiter aus.
Die Erkennung des Wurms durch aktuelle Antivirusprogramme ist noch recht lückenhaft.
Quelle : www.pcwelt.de
-
Der Wurm Waledac, der als Nachfolger des Sturm-Wurms gilt, versucht erneut potenzielle Opfer mit Grußkarten zum Valentinstag zu ködern. Diesmal ist sogar eine vorgebliche Software zum Eigenbau von Grußkarten im Angebot.
Die neueste Spam-Kampagne der Sturm-Wurm-Bande nutzt erneut den bevorstehenden Valentinstag als Aufhänger und Köder, um potenzielle Opfer auf die Websites ihres Fast-Flux-Botnets zu locken. Dort bieten sie ein vorgebliches "Valentine Devkit" an, mit dem man selbst Grußkarten erstellen können soll. Tatsächlich handelt es sich dabei um Malware, die ein betrügerisches Antivirusprogramm installiert.
(http://images.pcwelt.de/images/pcwelt/bdb/1967135/800x.jpg)
Die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Wurm-Bande hat mit der neuen Spam-Kampagne zum Valentinstag (14. Februar) offenbar die Zweckbestimmung des Schädlings geändert oder zumindest variiert. Bislang diente der Aufbau des Botnets vorwiegend der Verbreitung von Medikamenten-Spam. Wie Patrick Fitzgerald vom Antivirushersteller Symantec im Blog des Unternehmens berichtet, installiert die über die Waledac-Websites verbreitete Malware nunmehr ein betrügerisches Antivirusprogramm namens "MS AntiSpyware 2009".
Die Spam-Mails kommen mit einen Betreff wie "Great variety of little helpers for your health", "Canadian chemist – invest in your happy future", "Improvement to your xxxlife is one click away" oder "Live life to the fullest". Die Mails enthalten Links zu einer neu gestalteten Website bekannter Machart.
Die aktuelle, auf zahlreichen Domains beheimatete Waledac-Website zeigt ein Bild mit zwei Hundewelpen. Der Text fordert die Besucher dazu auf an den Valentinstag zu denken und bietet ein Programm namens "Valentine Devkit" an, das vorgeblich dem Erstellen von Grußkarten dienen soll. Verdeckter Script-Code zum heimlichen Einschleusen von Malware ist in den Seiten bislang nicht zu finden - das kann sich jedoch jederzeit ändern.
Die zum Download angebotene Malware wird in regelmäßigen Abständen leicht verändert, um Antivirusprogramme zu täuschen. Diese Taktik scheint nach wie vor recht gut zu funktionieren, denn die Erkennung der aktuellen Waledac-Malware durch Virenscanner ist zurzeit sehr dürftig.
Quelle : www.pcwelt.de
-
Liebe liegt in der Luft: Am Valentinstag rollt der Rubel nicht nur in die Kassen der Blumenhändler. Auch eine andere Branche reibt sich die Hände: Cyberkriminelle stürmen Jahr für Jahr am 14. Februar unzählige E-Mail-Postfächer mit vermeintlichen Liebesgrüßen. Schon Ende Januar bereitete eine erste Welle bösartiger E-Mails zum Valentinstag Internetnutzern Kopfschmerzen: "Waledac" – ein Nachfolger des Sturmwurms, versteckt hinter einem Dutzend Herzchen und Rosen und der Aufforderung "Rate, welches für Dich ist." Der Maus-Klick führt jedoch auf einen Webseite mit einem "Valentines Kit", in dem sich der Wurm versteckt. Variante des Waledac-Wurms. Gut getarnt und zunächst unerkannt spioniert der Wurm Passwörter fürs Online-Banking oder Kreditkartennummern aus.
Die Daten lassen sich wiederum gut verkaufen: Je nach Kontodeckung und Standort der Bank werden Zugangsdaten auf kriminellen Handels- Plattformen zu Stückpreisen zwischen zehn und tausend US-Dollar, umgerechnet etwa 7,70 bis 770 Euro, gehandelt. Beinahe jede Plattform ist nach spätestens sechs Monaten von der Bildfläche verschwunden. Doch neben dem Ausspionieren von Finanzdaten ist auch das Fluten elektronischer Postfächer mit unerwünschten Mails für Kriminelle lohnend. Zum Valentinstag locken sie in diesem Jahr vor allem mit verführerischen Geschenktipps.
Symantec warnt vor Mails, die im Betreff "Angebote zur Steigerung der Manneskraft" machen oder zum Kauf gefälschter Luxusuhren animieren. "Wenn jemand vorgeblich das perfekte Geschenk für mich hat oder es auf die Gefühlstour versucht – ist es wahrscheinlich Spam", erklärt Symantec-Experte Candid Wüest. Spammer verschicken ihre Mails vorzugsweise über Bot-Netz, also Rechner die etwa von Waledac gekapert wurden. Wüest berichtet von einer Untersuchung der Universität Berkeley (USA), wonach "bei 12,5 Millionen Spam-Mails etwa ein User anbeißt". Zudem wurde ein rund 500.000 Computer starkes Netz entdeckt, dass pro Minute 26 Millionen Mails verschickte. Ein inzwischen verurteilter Spammer verdiente in zwei Jahren umgerechnet mehr als drei Millionen Euro.
Nach Informationen von Panda Security waren im zweiten Quartal 2008 bis zu 94 Prozent aller eingehenden Nachrichten Spam-Mails. Die meisten wurden in den USA produziert. Dort habe der Valentinstag auch "eine größere Bedeutung"», sagte Antje Weber von Symantec. Der Großteil der schädlichen Valentinsgrüße werde vermutlich im englischsprachigen Raum zu finden sein. Dennoch sollte jeder Internet-Nutzer nicht die "Haustür offen stehen lassen" und seinen Computer schützen.
Quelle : www.heise.de
-
Die neueste Spam-Kampagne zur Verbreitung des Waledac-Wurms setzt auf eine bewährte Masche. Es werden vorgebliche Sensationsmeldungen verschickt, die potenzielle Opfer auf eine präparierte Website locken sollen.
Mit ihrer aktuellen Kampagne nutzt die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Bande einmal mehr Nachrichten über vorgebliche Ereignisse, um den Wurm unters Volk zu bringen. Waledac gilt als Nachfolger des seit dem Sommer 2008 nicht mehr gesichteten Sturm-Wurms. Die versandten Spam-Mails sollen potenzielle Opfer auf eine vorbereitete Website locken, auf der sie vorgeblich mehr über ein Bombenattentat in ihrer Stadt erfahren sollen.
(http://images.pcwelt.de/images/pcwelt/bdb/1973973/800x.jpg)
Die Mails kommen mit einem Betreff wie "Take Care!", "Are you and your friends in good health?", "At least 18 killed in your city" oder auch "I hope you are not in the city now". Sie enthalten einen Link zu einer Website, die über diverse Domains erreichbar ist. Die Domains sind die gleichen wie bei der letzten Kampagne, als es um Gutscheine (Coupons) ging, einige davon sind allerdings nicht mehr erreichbar.
Die Website enthält so genannten Geo-Location-Code, der versucht aus der IP-Adresse des Besuchers auf die Stadt zu schließen, in der er sich befindet. Den Namen der ermittelten Stadt fügt das Script in den Titel der Seite sowie in den Text ein. Die Seite imitiert eine Meldung einer bekannten Nachrichtenagentur und enthält im Titel auch das automatisch eingefügte Land, aus dem die IP-Adresse stammt. Der Titel lautet zum Beispiel "Reuters-Germany: Terror attack in Berlin".
Erkennng durch Antivirusprogramme
Überschrift und Text der Seite berichten über ein vorgebliches Bombenattentat in der jeweiligen Stadt. Es sollen mindestens 12 Personen umgekommen sein. Die Seite enthält vor allem jedoch ein Bild, das eine Vorschau auf ein Video vortäuschen soll. Wird das Bild angeklickt, beginnt der Download einer EXE-Datei, bei der es sich um eine Kopie des Waledac-Wurms handelt. Die zum Download angebotenen Malware-Dateien werden täglich ein wenig verändert, um Antivirusprogramme zu täuschen. Dies gelingt auch zum Teil.
Quelle : www.pcwelt.de
-
Nicht nur der Conficker-Wurm bedient der Waledac-Malware, auch andere Schädlinge installieren Waledac und benutzen ihn zum Versenden vom Massen-Mails. Dahinter steckt ein Geschäftsmodell der Sturm-Bande.
Die Schädlinge der Waledac-Familie haben sich als Nachfolger des berüchtigten Sturm-Wurms (Alias: Nuwar, Zhelatin) einen Namen gemacht. In der IT-Sicherheitsbranche geht man davon aus, dass hinter beiden die gleichen Täter stecken, die so genannte Sturm-Bande. Sie verbreiten ihre Malware nicht nur selbst sondern vermieten sie auch an andere. Sie betreiben ein Partnerprogramm, wie man es in ähnlicher Form vor allem aus dem Bereich der Adware kennt.
(http://images.pcwelt.de/images/pcwelt/bdb/1978333/800x.jpg)
Wie Scott Molenkamp im Blog des Microsoft Malware Protection Center berichtet, hat Microsoft die Waledac-Familie beim gestrigen Patch Day in die Gruppe der vom "Windows-Tool zum Entfernen bösartiger Software" ins Visier genommenen Schädlinge eingereiht. Die neue Version 2.9 des Anti-Malware-Tools wird über das automatische Windows Update verteilt und kann auch separat herunter geladen werden.
Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt zum Teil über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Websites geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu umgehen - mit Erfolg.
Die Macher von Waledac betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmaßlich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren, etwa bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail".
Scott Molenkamp nimmt dies zum Anlass einmal mehr darauf hinzuweisen, dass Internet-Nutzer nicht auf Links klicken sollten, die ihnen von Unbekannten geschickt werden. Diese Web-Seiten sind oft mit Browser-Exploits gespickt, also mit Script-Code, der Sicherheitslücken im Browser und in dessen Erweiterungen ausnutzen, um Malware einzuschleusen.
Quelle : www.pcwelt.de
-
Eine neue Spam-Kampagne wirbt für ein Tool, das es angeblich ermöglichen soll vom PC aus die SMS von Freunden und Fremden zu lesen. Tatsächlich wird über die zugehörige Website Malware aus der Waledac-Familie verbreitet.
Die neueste Masche der Sturm-Bande, um ihre Malware unters Volk zu bringen, setzt einmal mehr auf Social Engineering. Wer würde nicht gerne anderer Leute SMS lesen können? Das soll vorgeblich ein neues Tool ermöglichen, das in Spam-Mails beworben wird. Die sind so knapp gehalten wie man das auch schon beim Sturm-Wurm gewohnt war - bei seinem mutmaßlichen Nachfolger Waledac werden auch nicht viele Worte gemacht.
Die Mails kommen mit einem Betreff wie "Read his SMS" sowie gefälschten Absenderangaben und werden über das eigene Botnet verbreitet. Der Text verspricht "Now, It's possible to read other people's SMS" und verweist auf eine Web-Adresse. Als Web-Server für diese Seiten dienen ebenfalls gekaperte Rechner des Waledac-Botnet.
Auf der Website gibt es ein wenig mehr Text als in den Mails. Hier wird betont, dass man die Software "SMS Spy" nicht auf dem Handy des Auszuspionierenden installieren müsse. Es genüge ein PC mit Internet-Anschluss, um alle SMS lesen zu können. Besonders originell ist der Schlusssatz, in dem es heißt, dies sei ein "extrem neuer Service". Ein Download-Link soll eine "Free 30-Day Trial" Version der Software liefern.
Die vorgebliche Testversion wird unter wechselnden Dateinamen zum Download angebotenen, wie schon bei früheren Waledac-Kampagnen. Mal heißt sie "smsspy.exe", mal "smsreader.exe" und manchmal auch schlicht "sms.exe". Die Dateien sind etwa 400 KB groß und werden mehrmals täglich durch leicht modifizierte Fassungen ersetzt. Damit wird das übliche Katz-und-Maus-Spiel mit den Antivirusherstellern getrieben, das die Sturm-Bande recht gut beherrscht.
Ist der Schädling erstmal auf dem Rechner installiert, werden keine SMS gelesen sondern Spam-Mails verschickt - mehrere 10.000 am Tag sind keine Seltenheit. Waledac kann aber noch mehr - er sammelt auf dem Rechner Mail-Adressen, kann zu DoS-Angriffen abkommandiert werden oder spioniert Passwörter aus.
Die Erkennung aktueller Waledac-Malware durch Antivirusprogramme ist aufgrund des erwähnten Katz-und-Maus-Spiels eher bescheiden. Die Tabelle zeigt das Ergebnis für zwei unterschiedlich alte Waledac-Varianten von heute Morgen. Die Antivirushersteller hatten etwa vier bis fünf Stunden Zeit aktualisierte Virendatenbanken bereit zu stellen.
Quelle : www.pcwelt.de
-
Die Sicherheitsexperten von Symantec konnten einen deutlichen Zuwachs der Aktivitäten des Waledac-Wurms feststellen. Vorrangig äußert sich diese durch eine enorme Menge an verschickten Spam-Mails.
Die Autoren des Waledac-Schädlings bedienen sich dabei einiger interessanter technischer Raffinessen. Beispielsweise wird in den verlinkten Nachrichten ein Ort in der Nähe des Empfängers erwähnt. Damit will man maßgeblich das Interesse auf der Seite des Lesers wecken. Aus dem Report geht im weiteren hervor, dass Waledac überaus aktiv ist. Zu Recht könne man von einer Spam-Welle sprechen.
In der angesprochenen elektronischen Post befindet sich ein getürkter Link auf eine Meldung des Nachrichtenportals Reuters. Anhand von der IP-Adresse des Besuchers (Geolocating) wird sodann eine Meldung erzeugt, welche sich in der Umgebung des Opfers zugetragen haben soll. Freilich sind die Nachrichten frei erfunden und dienen lediglich dazu, Neugierde zu wecken. Da auch der jeweilige Betreff in den Mails variabel gestaltet wird, erhalten die Meldungen ein gewisses Maß an Authentizität eingehaucht.
Eine Beispielsmeldung könnte daher wie folgt aussehen: "Reuters-Germany: Terror Attack in Bocholt". Beim Klicken auf den Link wird der Besucher sodann aufgefordert, einen aktualisierten Video-Codec herunterzuladen. Was sich in Tat und Wahrheit dahinter verbirgt, liegt für den versierten Leser auf der Hand. Sollte zur Installation eingewilligt werden, so droht die Infektion mit dem Waledac-Wurm.
Darüber hinaus lassen sich die Experten auch zum Zusammenhang zwischen der Conficker/Downadup.C-Variante und dem Waledac-Schädling aus. Besonders weil der Conficker auch vereinzelt die Waledac-Variante auf den Systemen der Opfer heruntergeladen hat, liegt der begründete Verdacht nahe. Mit Gewissheit könne man dazu aber noch nichts sagen, heißt es. Obgleich das Conficker-Botnetz seine Position dadurch in einem gewissen Maße verstärken und letztlich festigen könne.
Quelle : www.gulli.com
-
Nicht zum ersten Mal versenden die Spam-Bots des Waledac-Botnet massenhaft Mails, um eine Firma in Misskredit zu bringen. Statt Malware zu verbreiten, fahren sie einen DoS-Angriff auf die Server des Unternehmens.
Die neueste Spam-Kampagne aus dem Waledac-Botnet hat nicht etwa die Verbreitung neuer Schädlinge zum Ziel. Vielmehr führt das Botnet eine DoS-Attacke (Denial of Service) gegen ein US-Unternehmen, das unter anderem eine Website für Fußfetischisten betreibt. Die Firma aus dem US-Bundesstaat Michigan gibt an, es handele sich um einen Racheakt, weil man die Geschäftspraktiken von Online-Kriminellen offen gelegt habe.
Die Mails werden mit der gefälschten Absenderangabe des Website-Betreibers verschickt. Sie kommen mit einem Betreff wie "Free foot fetish movies", "Free foot fetish" oder auch "Foot fetish tgp". Sie versprechen Videos mit füßelnden Frauen und enthalten einen Link zu der Fuß-Fetisch-Website. Diese ist unter zwei verschiedenen, wenn auch recht ähnlichen Domains erreichbar.
Beide Domains sind auf der selben IP-Adresse beheimatet wie das Ziel des letzten Waledac-Angriffs dieser Art, die Website der Firma Blizzard Image Hosting. Das überrascht wenig, wenn man erfährt, dass alle diese Websites dem selben Unternehmer aus Michigan gehören.
Dieser hat auf seinen Websites ein Nachricht für die Besucher hinterlassen, die auf die Links in den Spam-Mails geklickt haben. Nicht er sei es, der ihnen diese Spam-Mails geschickt habe. Vielmehr sei er Opfer eines DoS-Angriffs, den "dieser Ukrainer", wie er ihn nur nennt, gegen ihn gestartet habe. Dessen zweifelhafte Geschäftspraktiken habe er veröffentlicht und dies sei nun die Rache dafür.
So genannte "Joe Jobs", also schädigende Kampagnen, die den Anschein erwecken sollen, sie seien vom Opfer selbst initiiert, sind keine Seltenheit. Sie sind offenbar, ebenso wie DoS-Angriffe, ein beliebtes Racheinstrument der Online-Kriminellen. Im letzten Jahr traf es zum Beispiel einen Schweizer, der ebenfalls Machenschaften von Online-Kriminellen in Web ausgebreitet hatte. Ihm wurde ein vorgeblicher Selbstmord unter geschoben.
Die letzte Malware-Kampagne der hinter Waledac steckenden Sturm-Bande läuft unterdessen immer noch. Potenzielle Opfer sollen mit einem vorgeblichen Tool zum Mitlesen fremder SMS in die Malware-Falle gelockt werden.
Quelle : www.pcwelt.de
-
Der totgeglaubte Sturm-Wurm ist zurück und verschickt wieder Spam, wie mehrere Antivirenhersteller beobachtet haben. Lange Zeit galt das aus dem Sturm-Wurm bestehende Bot-Netz als eines der größten seiner Zeit. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner und war zwischen 2006 und Anfang 2009 für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.
Anfang 2009 wurde es dann ruhig um den Sturm-Wurm. Es wurde spekuliert, dass die Botnetzbetreiber vorerst genug Profit gemacht hätten und nun die Architektur überarbeiten wollen – unter anderem auch, weil immer mehr Virenspezialisten dem Bot mit Analysen zu Leibe rückten. Möglicherweise wurden die Verantwortlichen aber auch einfach nur von anderen Botnetzbetreibern (Srizbi, Mega-D, Rustock, Pushdo et al) aus dem Markt gedrängt.
Analysen der zum Honeynet-Projekt gehörenden Forscher Tillmann Werner, Felix Leder und Mark Schlösser haben ergeben, dass die nun auferstandene Version einige kleine Unterschiede zum Original aufweist. So läuft die Kommunikation zwischen Bot und C&C-Server nun offenbar nur noch über HTTP ab. Darüber holen die Bots dann die Templates für ihre Spam-Kampagnen für Viagra und anderes Gedöns ab. Ehemals enthaltene Funktionen für Peer-to-Peer-Kommunikation seien gar nicht mehr enthalten. Ohnehin sei in der neuen Version nur noch rund 60 Prozent des alten Codes enthalten.
Nach Meinung der Forscher, die schon Anfang 2009 Analysen zum Sturm-Wurm und das Tool Stormfucker zur Bekämpfung veröffentlichten, könnten die Sturm-Entwickler seinerzeit den Originalcode aber auch weiterverkauft haben. Demnach könne die neue Variante auch zu einem neuen Botnetzbetreiber gehören.
Quelle : www.heise.de
-
Die Rückkehr des Sturm-Wurms geisterte vor nicht all zu langer Zeit durch die Presse. Allerdings hält es sich laut Kaspersky momentan in Grenzen.
Kürzlich wurde weltweit eine Rückkehr des Stumr-Wurms, beziehungsweise Zhelatin gemeldet. Die neuesten Varianten des digitalen Ungeziefers sollen zirka 66 Prozent des Original-Codes enthalten. Die Sicherheits-Experten von Kaspersky haben sich die Analysen ebenfalls angesehen und kommen zu dem Schluss, dass die neuen Würmer lediglich die Spam- und die DDoS-Engine des Originals enthalten. Die Code-Beispiele telefonierten zu einem Server nach Hause, der sich in Holland befindet. Die IP-Adresse des Servers ist fest eincodiert.
Shadowserver har den Provider bereits informiert und der böse Server sollte bald aus dem Netz verbannt sein. Somit sei diese Gefahr relativ einfach zu bannen. Man habe im Moment nicht mehr als 139 infizierte Rechner für Trojan.Win32.Fraudload.apnh gezählt. Somit sei die Gefahrenstufe nur als mittelmäßig einzustufen.
Quelle : www.tecchannel.de
-
Eine zeitlang war der berüchtigte Storm-Worm maßgeblich am Spam- und Malware-Aufkommen im Internet beteiligt. Dann wurde es ruhig um das Botnet. Nun allerdings scheint es so, als sei Storm auf dem Weg zu einem Comeback: einige aktuelle Malware-Spam-Kampagnen tragen eindeutig die Handschrift einer neuen Generation des Schädlings.
Der originale Storm-Worm erlebte seine Blütezeit zwischen Januar 2007 und April 2008. Danach wurde der Schädling durch andere Malware-Typen verdrängt. Sicherheitsexperten spekulieren, das dies unter anderem mit dem riesigen Erfolg von Storm zusammenhing. Eine allzu verbreitete Malware läuft immer eher Gefahr, erkannt und durch Schutzmaßnahmen unbrauchbar gemacht zu werden, als eine obskurere.
Nun jedoch ist womöglich eine neue Storm-Generation auf dem Vormarsch. Sicherheitsexperten machen dies an einer Kampagne mit Malware verseuchter Spam-Mails fest, die kurz vor Weihnachten bekannt wurde. Der Schädling wird dabei in Mails verschickt, die sich als weihnachtliche E-Cards tarnen. Beim Aufruf der angeblichen Festtagsgrüße wird der Benutzer aufgefordert, eine angeblich zum Betrachten der Karte nötige Version des Flash-Players zu installieren. Diese allerdings enthält in Wirklichkeit den fraglichen Schädling.
Die Forschergruppe "Shadowserver Foundation" erklärt in einer Analyse (http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20101230), die Malware und insbesondere die generelle Taktik der verantwortlichen Cyberkriminellen trage deutliche Züge der lange Zeit inaktiven Botnets Storm und Waledac. Sie gehen daher davon aus, dass es sich um eine neue Version der Storm-Malware handelt. Ob diese jedoch ebenso erfolgreich sein wird wie der Vorgänger, bleibt abzuwarten.
Quelle : www.gulli.com