Thema: "Sturm-Wurm" schwappt durchs Netz

[SiLæncer]

Mehrere Hersteller von Antiviren-Software haben eine neue Welle des Sturm-Wurms gemeldet, die derzeit in die Postfächer schwappt. Mit den als Liebesbotschaft getarnten Mails scheinen sich die Virenautoren allerdings etwas vertan zu haben: Für Weihnachten ist es zu spät und für den Valentins-Tag erheblich zu früh. Sollten Anwender dennoch auf die Mail hereinfallen und auf den in der Mail enthaltenen Link klicken, so landen sie auf einer Webseite, auf dem ein großes Herz prangt. Anschließend wird dem Besucher eine Datei (WITH_LOVE.EXE) zum Download angeboten, in der der Wurm steckt.

Wer die angebotene Datei gestartet hat, dessen Windows-PC dürfte nun Mitglied eines Botnetzes sein. Selbst ein installierter Virenscanner bietet keinen ausreichenden Schutz, da die Hersteller mit den Virensignaturen nicht mehr hinterherkommen und nicht alle Produkte eine zuverlässige Verhaltensanalyse (Behavioral Blocking) aufweisen. Eventuell helfen Programme wie Norton Anti-Bot oder Trend Micros Beta-Version von RUBotted, Botnetz-Aktivitäten auf dem eigenen PC festzustellen.

In den vergangenen Monaten gab es zahlreiche, oft zur Jahreszeit passende Versionen des Sturm-Wurms: Zu Halloween versprachen die Mails, ein Skelett auf dem Bildschirm tanzen zu lassen, zu Weihnachten sollte dann die Datei stripshow.exe unbedeckte Haut auf den Monitor zaubern.

Es ist damit zu rechnen, dass der Sturm-Wurm auch in naher Zukunft Anwender in verschiedenen Varianten zu größeren Anlässen belästigen wird. Wahrscheinlich steht Ostern bereits auf der To-Do-Liste der Virenprogrammierer, möglicherweise tritt er bereits zum Super Bowl Sunday auf den Plan.

Wie immer gilt: Empfänger von E-Mails mit Dateianhängen oder Links auf Webseiten sollten Vorsicht walten lassen.

Quelle : http://www.heise.de

[SiLæncer]

Über das Botnet der Sturm-Wurm-Bande werden Spam-Mails verbreitet, die Werbung für Online-Shops enthalten, in denen Medikamente feil geboten werden. Die Links in den Mails führen auf Weiterleitungsseiten, die auf Botnet-Rechnern liegen.

Botnets werden von ihren Betreibern gerne an Spammer vermietet, um über die fremdgesteuerten Zombie-PCs Spam-Mails zu verbreiten. Die Sturm-Wurm-Bande setzt allem Anschein nach neuerdings auf eine Strategie der Mehrfachnutzung. Die Zombie-PCs verbreiten Spam-Mails, dienen als Zwischenstation für Links zu den per Spam beworbenen Online-Shops und beherbergen auch weiterhin die Download-Seiten für die Sturm-Malware.

Forscher des Sicherheitsunternehmens Websense berichten im Blog der Websense Security Labs über die neue Taktik der Sturm-Wurm-Bande. Die vom Sturm-Botnet verbreiteten Spam-Mails enthalten einen Link nach dem Schema "http://<IP-Adresse>/<Unterverzeichnis>/", also etwa "http://123.123.123.123/name/". Die beim Anklicken des Links aufgerufene Seite liegt auf einem Zombie-PC des Botnets und leitet zur Website einer zweifelhaften Online-Apotheke weiter, die einen ganz normalen Domain-Namen hat.

Im Hauptverzeichnis des Web-Servers auf dem Zombie-PC (also "http://<IP-Adresse>/") liegt weiterhin die Download-Seite für die seit Mitte Januar laufende Malware-Kampagne der Sturm-Wurm-Bande. Dort gibt es zwar mittlerweile ein neues Bild mit ähnlichem Motiv wie zuvor, ansonsten hat sich jedoch nicht viel geändert.

Das Sturm-Botnet verbreitet auch weiterhin Spam-Mails mit vorgeblichen Grüßen zum Valentinstag, die direkte Links auf die Download-Seiten für die Sturm-Malware (Familie: Nuwar/Peacomm/Zhelatin) enthalten. Besuchern dieser Seiten wird eine Datei "with_love.exe" (oder "withlove.exe") angeboten. Wird sie ausgeführt, reiht sie den PC in die Zombie-Armee des Botnets ein. Er wird dann ebenfalls zur Spam-Schleuder und zum Interims-Web-Server für Malware- und Spam-Kampagnen.

Quelle : www.pcwelt.de

[SiLæncer]

Die Sturm-Wurm-Bande hat sich offenbar etwas Neues ausgedacht, denn zunächst hat kein einziger Virenscanner die neuen Schädlingsvarianten erkannt. An den neuen Bildern auf den Botnet-Websites kann es ja kaum liegen.

Nach dem viel zu frühen Start ihrer Valentinstagkampagne Mitte Januar hat die so genannte Sturm-Wurm-Bande kurz vor dem richtigen Termin eine neue Spam-Kampagne aufgelegt. Dabei sind die Mails im Grunde unverändert geblieben - die in den Mails verknüpften Web-Seiten sind jedoch renoviert worden. Offenbar müssen sich die Programmierer der dort offerierten Malware ein paar Gedanken gemacht haben. Noch einen halben Tag, nachdem bereits Forscher der Antivirus-Hersteller Symantec und Trend Micro in ihren Blogs über die neue Sturm-Wurm-Welle berichtet hatten, hat kein einziger Virenscanner die Schädlinge erkannt.

Die neuen Websites auf den Zombie-Rechnern des Sturm-Botnets zeigen ein zufällig ausgewähltes von acht vorhandenen Bildmotiven zum Valentinstag an. Das Bild ist mit einer Datei namens "valentine.exe" verlinkt. Fünf Sekunden nach dem Aufruf einer solchen Seite wird der Download dieser Datei automatisch gestartet - es erscheint in der Regel ein entsprechender Dialog des Browsers.

Bei dieser EXE-Datei handelt es sich um die neueste Variante der Storm-Malware, eines so genannten Bots - gerne auch als "Sturm-Wurm" bezeichnet. Antivirus-Hersteller haben unterschiedliche Namen für diese Schädlinge: bei McAfee und Trend Micro heißen sie "Nuwar", bei Symantec "Peacomm", Sophos nennt sie "Dorf" und Kaspersky "Zhelatin", um nur ein paar Beispiele zu nennen.

Leider ist heute früh zunächst keiner dieser Namen in den Scan-Ergebnissen aufgetaucht. Kein einziger Virenscanner hat auch nur eine der zahlreichen Dateivarianten erkannt, die das Sturm-Botnet im Takt weniger Minuten neu generiert. Als erster Hersteller hat dann Sophos eine hinreichend allgemein gehaltene Erkennungsroutine entwickelt und ausgeliefert, um alle gesammelten neuen Sturm-Wurm-Varianten als solche zu erkennen.

Quelle : www.pcwelt.de

[SiLæncer]

Ein Team von Forscher der Universität Bonn und der RWTH Aachen hat das berüchtigte Sturmwurm-Botnetz analysiert und dabei festgestellt, dass es keineswegs so perfekt ist, wie es immer schien. Im Gegenteil: Mit Software, die Georg Wicherski, Tillmann Werner, Felix Leder und Mark Schlösser entwickelt und zumindest teilweise veröffentlicht haben, ließe sich das Botnetz in kürzester Zeit eliminieren.

Seit zwei Jahren ist der Sturmwurm das Paradebeispiel für die technischen Fähigkeiten organisierter, krimineller Banden im Internet. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner, die den Befehlen eines Kontrollservers folgten und Peer-to-Peer-Techniken einsetzten, um neue Server zu finden. Selbst nach einer großen Reinigungsaktion durch Microsofts Malicious Software Removal Tool dürften noch grob geschätzt 100.000 Drohnen übrig sein. Damit ist das Sturmwurm-Botnetz für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Umso erstaunlicher ist es, dass es trotzdem nicht gelingt, dieses Netz still zu legen. Den Ergebnissen der Forscher zu Folge liegt das keineswegs an den technischen Finessen der Sturmwurm-Entwickler.

Die bisherigen Erkenntnisse über die eingesetzten Techniken des Sturmwurms stammen hauptsächlich aus Beobachtung des Verhaltens von infizierten Systemen. Um den Sturmwurm zu entzaubern, beschritten die Hacker einen anderen Weg. Sie haben große Teile des Client-Programms der Zombies aus dem Maschinencode zurückübersetzt und analysiert. Insbesondere die Funktionen zur Kommunikation mit den anderen Zombies und dem Server haben sie sich dabei genauer angesehen.

Mit diesem Hintergrundwissen konnten sie einen eigenen Client entwickeln, der sich derart in die Peer-to-Peer-Struktur des Sturmwurm-Netzes einklinkt, dass Anfragen anderer Zombies nach neuen Kommando-Servern ziemlich sicher an ihn geschickt wurden. Damit ist er in der Lage, den Zombies einen neuen Server unter zu schieben. Im zweiten Schritt analysierten die Forscher das Protokoll für die Befehlsübergabe. Dabei stellten sie fest, dass sich der Server erstaunlicherweise nicht bei den Clients authentifizieren muss und sie mit ihren Informationen in der Lage waren, einen einfachen Server aufzusetzen. Der konnte ihren Sturmwurm-Drohnen im Testlabor dann tatsächlich Befehle geben, die diese ausführten, etwa ein bestimmtes Programm von einem Server nachzuladen und auszuführen – zum Beispiel ein spezielles Reinigungsprogramm. Ein solches haben die Forscher dann auch gleich geschrieben.

Damit hatten sie eigentlich alle nötigen Grundkomponenten zusammen, um das Sturmwurm-Netz komplett zu eliminieren. Mit einer noch zu schreibenden Erweiterung für eine verteilte Desinfektion sollte sich auch ein Zombie-Netz aus mehr als 100.000 Drohnen auflösen lassen, ohne Gefahr zu laufen, dass ein zentraler Reinigungs-Server unter der Last oder eventuellen DDoS-Angriffen der Botnetz-Betreiber zusammenbricht.

Den letzten Schritt, das Ganze mit echten Zombies umzusetzen, vollzogen die Forscher dann allerdings nicht mehr. Denn aus rechtlicher Sicht ist ein solches Vorhaben alles andere als unproblematisch. So könnte in dem unerlaubten Zugriff auf fremde Rechner etwa eine strafbare Datenveränderung nach § 303a zu sehen sein. Danach ist es bei Androhung einer Freiheitsstrafe von bis zu zwei Jahren verboten, rechtswidrig fremde Daten zu löschen, zu unterdrücken, unbrauchbar zu machen oder zu verändern. Diese Vorschrift setzt allerdings einen Strafantrag des Betroffenen oder ein besonderes öffentliches Interesse an der Strafverfolgung voraus.

Neben strafrechtlichen Risiken besteht zudem die Gefahr von zivilrechtlichen Schadensersatzansprüchen durch die Besitzer der infizierten PCs. Denn bei einer solchen Aktion ist auch mit Kolateralschäden zu rechnen. So gäbe es ziemlich sicher Konstellationen, in denen die Reinigung fehl schlägt und Rechner vielleicht sogar anschließend nicht mehr starten. Die zu erwartenden Abwehrreaktionen der Botnetz-Betreiber könnten zu weiteren Schäden führen.

Auf der anderen Seite reden wir hier über Zombie-Rechner, die eine Gefahr für die Allgemeinheit darstellen. Bot-Netze sind die wichtigsten Werkzeuge krimineller Banden, die jährlich viele Millionen durch Betrug und Erpressung abkassieren. Ohne sie wäre das Internet deutlich sicherer und sehr viel angenehmer. Da verwundert es schon, dass es keine Diskussion darüber gibt, welche rechtlichen Voraussetzungen man schaffen müsste, um diese Bedrohung aktiv aus der Welt schaffen zu können. Darauf, dass das technisch ohnehin nicht möglich wäre, können sich die Verantwortlichen jedenfalls nicht mehr zurückziehen.

Quelle : www.heise.de

[SiLæncer]

Der als Nachfahre des so genannten Sturm-Wurms gehandelte Waledac-Wurm reist weiter auf den eingefahrenen Gleisen seines Ahnen. Vorgebliche Grußkarten-Mails zum Valentinstag sollen potenzielle neue Opfer ködern.

Waledac grüßt zum Valentin

Der Sturm-Wurm, der 2007 und in der ersten Hälfte von 2008 mit falschen Grußkarten-Mails auf die Jagd ging, ist seit letzten Sommer von der Bildfläche verschwunden. Seine Nachfolge tritt der Wurm "Waledac" an, der sich ähnlicher Methoden bedient. Verschiedene Malware-Forscher gehen inzwischen sogar davon aus, dass hinter Waledac dieselben Personen stecken. Valentinsgrüße kennen wir jedenfalls schon vom Sturm-Wurm und die von Waledac sind sehr ähnlich.

Waledac hatte sich zuletzt als Verbreiter falscher Nachrichten über Barack Obama betätigt und dessen Rückzieher vom Amt des US-Präsidenten verkündet. Nachdem Waledac auch schon zu Weihnachten mit falschen Grußkarten-Mails aktiv war, geht er nun mit vorgeblichen Valentinsgrüßen auf die Jagd nach neuen Opfern.

Die Mails kommen mit einem Betreff wie "I belong to you", "I give my heart to you", "Wanna kiss you", "You are the ONE" und ähnlichen Liebesschwüren. Im bekannten knappen Sturm-Wurm-Stil folgt im Mail-Text ein Einzeiler mit einem Link zu einer von mehreren Websites. Dort erwartet den Besucher ein Bild mit verschiedenen Herzmotiven sowie die Aufforderung "Guess, which one is for you?" ( Rate, welches für Dich ist).

Das Bild ist mit dem Download einer EXE-Datei verknüpft, der beim Anklicken startet. Die wechselnden Dateinamen sind auch thematisch passend gewählt und reichen von "love.exe" über "meandyou.exe" und "onlyyou.exe" bis "you.exe". Es handelt sich in jedem Fall um eine knapp 400 KB große Kopie des Schädlings. Der setzt die Sicherheitseinstellungen des Internet Explorers herab, um den Rechner für weitere Angriffe zu öffnen, und breitet sich per Mail weiter aus.

Die Erkennung des Wurms durch aktuelle Antivirusprogramme ist noch recht lückenhaft.

Quelle : www.pcwelt.de

[SiLæncer]

Der Wurm Waledac, der als Nachfolger des Sturm-Wurms gilt, versucht erneut potenzielle Opfer mit Grußkarten zum Valentinstag zu ködern. Diesmal ist sogar eine vorgebliche Software zum Eigenbau von Grußkarten im Angebot.

Die neueste Spam-Kampagne der Sturm-Wurm-Bande nutzt erneut den bevorstehenden Valentinstag als Aufhänger und Köder, um potenzielle Opfer auf die Websites ihres Fast-Flux-Botnets zu locken. Dort bieten sie ein vorgebliches "Valentine Devkit" an, mit dem man selbst Grußkarten erstellen können soll. Tatsächlich handelt es sich dabei um Malware, die ein betrügerisches Antivirusprogramm installiert.

Die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Wurm-Bande hat mit der neuen Spam-Kampagne zum Valentinstag (14. Februar) offenbar die Zweckbestimmung des Schädlings geändert oder zumindest variiert. Bislang diente der Aufbau des Botnets vorwiegend der Verbreitung von Medikamenten-Spam. Wie Patrick Fitzgerald vom Antivirushersteller Symantec im Blog des Unternehmens berichtet, installiert die über die Waledac-Websites verbreitete Malware nunmehr ein betrügerisches Antivirusprogramm namens "MS AntiSpyware 2009".

Die Spam-Mails kommen mit einen Betreff wie "Great variety of little helpers for your health", "Canadian chemist – invest in your happy future", "Improvement to your xxxlife is one click away" oder "Live life to the fullest". Die Mails enthalten Links zu einer neu gestalteten Website bekannter Machart.

Die aktuelle, auf zahlreichen Domains beheimatete Waledac-Website zeigt ein Bild mit zwei Hundewelpen. Der Text fordert die Besucher dazu auf an den Valentinstag zu denken und bietet ein Programm namens "Valentine Devkit" an, das vorgeblich dem Erstellen von Grußkarten dienen soll. Verdeckter Script-Code zum heimlichen Einschleusen von Malware ist in den Seiten bislang nicht zu finden - das kann sich jedoch jederzeit ändern.

Die zum Download angebotene Malware wird in regelmäßigen Abständen leicht verändert, um Antivirusprogramme zu täuschen. Diese Taktik scheint nach wie vor recht gut zu funktionieren, denn die Erkennung der aktuellen Waledac-Malware durch Virenscanner ist zurzeit sehr dürftig.

Quelle : www.pcwelt.de

[SiLæncer]

Liebe liegt in der Luft: Am Valentinstag rollt der Rubel nicht nur in die Kassen der Blumenhändler. Auch eine andere Branche reibt sich die Hände: Cyberkriminelle stürmen Jahr für Jahr am 14. Februar unzählige E-Mail-Postfächer mit vermeintlichen Liebesgrüßen. Schon Ende Januar bereitete eine erste Welle bösartiger E-Mails zum Valentinstag Internetnutzern Kopfschmerzen: "Waledac" – ein Nachfolger des Sturmwurms, versteckt hinter einem Dutzend Herzchen und Rosen und der Aufforderung "Rate, welches für Dich ist." Der Maus-Klick führt jedoch auf einen Webseite mit einem "Valentines Kit", in dem sich der Wurm versteckt. Variante des Waledac-Wurms. Gut getarnt und zunächst unerkannt spioniert der Wurm Passwörter fürs Online-Banking oder Kreditkartennummern aus.

Die Daten lassen sich wiederum gut verkaufen: Je nach Kontodeckung und Standort der Bank werden Zugangsdaten auf kriminellen Handels- Plattformen zu Stückpreisen zwischen zehn und tausend US-Dollar, umgerechnet etwa 7,70 bis 770 Euro, gehandelt. Beinahe jede Plattform ist nach spätestens sechs Monaten von der Bildfläche verschwunden. Doch neben dem Ausspionieren von Finanzdaten ist auch das Fluten elektronischer Postfächer mit unerwünschten Mails für Kriminelle lohnend. Zum Valentinstag locken sie in diesem Jahr vor allem mit verführerischen Geschenktipps.

Symantec warnt vor Mails, die im Betreff "Angebote zur Steigerung der Manneskraft" machen oder zum Kauf gefälschter Luxusuhren animieren. "Wenn jemand vorgeblich das perfekte Geschenk für mich hat oder es auf die Gefühlstour versucht – ist es wahrscheinlich Spam", erklärt Symantec-Experte Candid Wüest. Spammer verschicken ihre Mails vorzugsweise über Bot-Netz, also Rechner die etwa von Waledac gekapert wurden. Wüest berichtet von einer Untersuchung der Universität Berkeley (USA), wonach "bei 12,5 Millionen Spam-Mails etwa ein User anbeißt". Zudem wurde ein rund 500.000 Computer starkes Netz entdeckt, dass pro Minute 26 Millionen Mails verschickte. Ein inzwischen verurteilter Spammer verdiente in zwei Jahren umgerechnet mehr als drei Millionen Euro.

Nach Informationen von Panda Security waren im zweiten Quartal 2008 bis zu 94 Prozent aller eingehenden Nachrichten Spam-Mails. Die meisten wurden in den USA produziert. Dort habe der Valentinstag auch "eine größere Bedeutung"», sagte Antje Weber von Symantec. Der Großteil der schädlichen Valentinsgrüße werde vermutlich im englischsprachigen Raum zu finden sein. Dennoch sollte jeder Internet-Nutzer nicht die "Haustür offen stehen lassen" und seinen Computer schützen.

Quelle : www.heise.de

[SiLæncer]

Die neueste Spam-Kampagne zur Verbreitung des Waledac-Wurms setzt auf eine bewährte Masche. Es werden vorgebliche Sensationsmeldungen verschickt, die potenzielle Opfer auf eine präparierte Website locken sollen.

Mit ihrer aktuellen Kampagne nutzt die mutmaßlich hinter dem Waledac-Wurm steckende Sturm-Bande einmal mehr Nachrichten über vorgebliche Ereignisse, um den Wurm unters Volk zu bringen. Waledac gilt als Nachfolger des seit dem Sommer 2008 nicht mehr gesichteten Sturm-Wurms. Die versandten Spam-Mails sollen potenzielle Opfer auf eine vorbereitete Website locken, auf der sie vorgeblich mehr über ein Bombenattentat in ihrer Stadt erfahren sollen.

 Die Mails kommen mit einem Betreff wie "Take Care!", "Are you and your friends in good health?", "At least 18 killed in your city" oder auch "I hope you are not in the city now". Sie enthalten einen Link zu einer Website, die über diverse Domains erreichbar ist. Die Domains sind die gleichen wie bei der letzten Kampagne, als es um Gutscheine (Coupons) ging, einige davon sind allerdings nicht mehr erreichbar.

Die Website enthält so genannten Geo-Location-Code, der versucht aus der IP-Adresse des Besuchers auf die Stadt zu schließen, in der er sich befindet. Den Namen der ermittelten Stadt fügt das Script in den Titel der Seite sowie in den Text ein. Die Seite imitiert eine Meldung einer bekannten Nachrichtenagentur und enthält im Titel auch das automatisch eingefügte Land, aus dem die IP-Adresse stammt. Der Titel lautet zum Beispiel "Reuters-Germany: Terror attack in Berlin".

Erkennng durch Antivirusprogramme

Überschrift und Text der Seite berichten über ein vorgebliches Bombenattentat in der jeweiligen Stadt. Es sollen mindestens 12 Personen umgekommen sein. Die Seite enthält vor allem jedoch ein Bild, das eine Vorschau auf ein Video vortäuschen soll. Wird das Bild angeklickt, beginnt der Download einer EXE-Datei, bei der es sich um eine Kopie des Waledac-Wurms handelt. Die zum Download angebotenen Malware-Dateien werden täglich ein wenig verändert, um Antivirusprogramme zu täuschen. Dies gelingt auch zum Teil.

Quelle : www.pcwelt.de

[SiLæncer]

Nicht nur der Conficker-Wurm bedient der Waledac-Malware, auch andere Schädlinge installieren Waledac und benutzen ihn zum Versenden vom Massen-Mails. Dahinter steckt ein Geschäftsmodell der Sturm-Bande.

Die Schädlinge der Waledac-Familie haben sich als Nachfolger des berüchtigten Sturm-Wurms (Alias: Nuwar, Zhelatin) einen Namen gemacht. In der IT-Sicherheitsbranche geht man davon aus, dass hinter beiden die gleichen Täter stecken, die so genannte Sturm-Bande. Sie verbreiten ihre Malware nicht nur selbst sondern vermieten sie auch an andere. Sie betreiben ein Partnerprogramm, wie man es in ähnlicher Form vor allem aus dem Bereich der Adware kennt.

Wie Scott Molenkamp im Blog des Microsoft Malware Protection Center berichtet, hat Microsoft die Waledac-Familie beim gestrigen Patch Day in die Gruppe der vom "Windows-Tool zum Entfernen bösartiger Software" ins Visier genommenen Schädlinge eingereiht. Die neue Version 2.9 des Anti-Malware-Tools wird über das automatische Windows Update verteilt und kann auch separat herunter geladen werden.

Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt zum Teil über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Websites geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu umgehen - mit Erfolg.

Die Macher von Waledac betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmaßlich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren, etwa bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail".

Scott Molenkamp nimmt dies zum Anlass einmal mehr darauf hinzuweisen, dass Internet-Nutzer nicht auf Links klicken sollten, die ihnen von Unbekannten geschickt werden. Diese Web-Seiten sind oft mit Browser-Exploits gespickt, also mit Script-Code, der Sicherheitslücken im Browser und in dessen Erweiterungen ausnutzen, um Malware einzuschleusen.

Quelle : www.pcwelt.de

[SiLæncer]

Eine neue Spam-Kampagne wirbt für ein Tool, das es angeblich ermöglichen soll vom PC aus die SMS von Freunden und Fremden zu lesen. Tatsächlich wird über die zugehörige Website Malware aus der Waledac-Familie verbreitet.

Die neueste Masche der Sturm-Bande, um ihre Malware unters Volk zu bringen, setzt einmal mehr auf Social Engineering. Wer würde nicht gerne anderer Leute SMS lesen können? Das soll vorgeblich ein neues Tool ermöglichen, das in Spam-Mails beworben wird. Die sind so knapp gehalten wie man das auch schon beim Sturm-Wurm gewohnt war - bei seinem mutmaßlichen Nachfolger Waledac werden auch nicht viele Worte gemacht.

Die Mails kommen mit einem Betreff wie "Read his SMS" sowie gefälschten Absenderangaben und werden über das eigene Botnet verbreitet. Der Text verspricht "Now, It's possible to read other people's SMS" und verweist auf eine Web-Adresse. Als Web-Server für diese Seiten dienen ebenfalls gekaperte Rechner des Waledac-Botnet.

Auf der Website gibt es ein wenig mehr Text als in den Mails. Hier wird betont, dass man die Software "SMS Spy" nicht auf dem Handy des Auszuspionierenden installieren müsse. Es genüge ein PC mit Internet-Anschluss, um alle SMS lesen zu können. Besonders originell ist der Schlusssatz, in dem es heißt, dies sei ein "extrem neuer Service". Ein Download-Link soll eine "Free 30-Day Trial" Version der Software liefern.

Die vorgebliche Testversion wird unter wechselnden Dateinamen zum Download angebotenen, wie schon bei früheren Waledac-Kampagnen. Mal heißt sie "smsspy.exe", mal "smsreader.exe" und manchmal auch schlicht "sms.exe". Die Dateien sind etwa 400 KB groß und werden mehrmals täglich durch leicht modifizierte Fassungen ersetzt. Damit wird das übliche Katz-und-Maus-Spiel mit den Antivirusherstellern getrieben, das die Sturm-Bande recht gut beherrscht.

Ist der Schädling erstmal auf dem Rechner installiert, werden keine SMS gelesen sondern Spam-Mails verschickt - mehrere 10.000 am Tag sind keine Seltenheit. Waledac kann aber noch mehr - er sammelt auf dem Rechner Mail-Adressen, kann zu DoS-Angriffen abkommandiert werden oder spioniert Passwörter aus.

Die Erkennung aktueller Waledac-Malware durch Antivirusprogramme ist aufgrund des erwähnten Katz-und-Maus-Spiels eher bescheiden. Die Tabelle zeigt das Ergebnis für zwei unterschiedlich alte Waledac-Varianten von heute Morgen. Die Antivirushersteller hatten etwa vier bis fünf Stunden Zeit aktualisierte Virendatenbanken bereit zu stellen.

Quelle : www.pcwelt.de

[SiLæncer]

Die Sicherheitsexperten von Symantec konnten einen deutlichen Zuwachs der Aktivitäten des Waledac-Wurms feststellen. Vorrangig äußert sich diese durch eine enorme Menge an verschickten Spam-Mails.

Die Autoren des Waledac-Schädlings bedienen sich dabei einiger interessanter technischer Raffinessen. Beispielsweise wird in den verlinkten Nachrichten ein Ort in der Nähe des Empfängers erwähnt. Damit will man maßgeblich das Interesse auf der Seite des Lesers wecken. Aus dem Report geht im weiteren hervor, dass Waledac überaus aktiv ist. Zu Recht könne man von einer Spam-Welle sprechen.

In der angesprochenen elektronischen Post befindet sich ein getürkter Link auf eine Meldung des Nachrichtenportals Reuters. Anhand von der IP-Adresse des Besuchers (Geolocating) wird sodann eine Meldung erzeugt, welche sich in der Umgebung des Opfers zugetragen haben soll. Freilich sind die Nachrichten frei erfunden und dienen lediglich dazu, Neugierde zu wecken. Da auch der jeweilige Betreff in den Mails variabel gestaltet wird, erhalten die Meldungen ein gewisses Maß an Authentizität eingehaucht.

Eine Beispielsmeldung könnte daher wie folgt aussehen: "Reuters-Germany: Terror Attack in Bocholt". Beim Klicken auf den Link wird der Besucher sodann aufgefordert, einen aktualisierten Video-Codec herunterzuladen. Was sich in Tat und Wahrheit dahinter verbirgt, liegt für den versierten Leser auf der Hand. Sollte zur Installation eingewilligt werden, so droht die Infektion mit dem Waledac-Wurm.

Darüber hinaus lassen sich die Experten auch zum Zusammenhang zwischen der Conficker/Downadup.C-Variante und dem Waledac-Schädling aus. Besonders weil der Conficker auch vereinzelt die Waledac-Variante auf den Systemen der Opfer heruntergeladen hat, liegt der begründete Verdacht nahe. Mit Gewissheit könne man dazu aber noch nichts sagen, heißt es. Obgleich das Conficker-Botnetz seine Position dadurch in einem gewissen Maße verstärken und letztlich festigen könne.

Quelle : www.gulli.com

[SiLæncer]

Nicht zum ersten Mal versenden die Spam-Bots des Waledac-Botnet massenhaft Mails, um eine Firma in Misskredit zu bringen. Statt Malware zu verbreiten, fahren sie einen DoS-Angriff auf die Server des Unternehmens.

Die neueste Spam-Kampagne aus dem Waledac-Botnet hat nicht etwa die Verbreitung neuer Schädlinge zum Ziel. Vielmehr führt das Botnet eine DoS-Attacke (Denial of Service) gegen ein US-Unternehmen, das unter anderem eine Website für Fußfetischisten betreibt. Die Firma aus dem US-Bundesstaat Michigan gibt an, es handele sich um einen Racheakt, weil man die Geschäftspraktiken von Online-Kriminellen offen gelegt habe.

Die Mails werden mit der gefälschten Absenderangabe des Website-Betreibers verschickt. Sie kommen mit einem Betreff wie "Free foot fetish movies", "Free foot fetish" oder auch "Foot fetish tgp". Sie versprechen Videos mit füßelnden Frauen und enthalten einen Link zu der Fuß-Fetisch-Website. Diese ist unter zwei verschiedenen, wenn auch recht ähnlichen Domains erreichbar.

Beide Domains sind auf der selben IP-Adresse beheimatet wie das Ziel des letzten Waledac-Angriffs dieser Art, die Website der Firma Blizzard Image Hosting. Das überrascht wenig, wenn man erfährt, dass alle diese Websites dem selben Unternehmer aus Michigan gehören.

Dieser hat auf seinen Websites ein Nachricht für die Besucher hinterlassen, die auf die Links in den Spam-Mails geklickt haben. Nicht er sei es, der ihnen diese Spam-Mails geschickt habe. Vielmehr sei er Opfer eines DoS-Angriffs, den "dieser Ukrainer", wie er ihn nur nennt, gegen ihn gestartet habe. Dessen zweifelhafte Geschäftspraktiken habe er veröffentlicht und dies sei nun die Rache dafür.

So genannte "Joe Jobs", also schädigende Kampagnen, die den Anschein erwecken sollen, sie seien vom Opfer selbst initiiert, sind keine Seltenheit. Sie sind offenbar, ebenso wie DoS-Angriffe, ein beliebtes Racheinstrument der Online-Kriminellen. Im letzten Jahr traf es zum Beispiel einen Schweizer, der ebenfalls Machenschaften von Online-Kriminellen in Web ausgebreitet hatte. Ihm wurde ein vorgeblicher Selbstmord unter geschoben.

Die letzte Malware-Kampagne der hinter Waledac steckenden Sturm-Bande läuft unterdessen immer noch. Potenzielle Opfer sollen mit einem vorgeblichen Tool zum Mitlesen fremder SMS in die Malware-Falle gelockt werden.

Quelle : www.pcwelt.de

[SiLæncer]

Der totgeglaubte Sturm-Wurm ist zurück und verschickt wieder Spam, wie mehrere Antivirenhersteller beobachtet haben. Lange Zeit galt das aus dem Sturm-Wurm bestehende Bot-Netz als eines der größten seiner Zeit. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner und war zwischen 2006 und Anfang 2009 für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.

Anfang 2009 wurde es dann ruhig um den Sturm-Wurm. Es wurde spekuliert, dass die Botnetzbetreiber vorerst genug Profit gemacht hätten und nun die Architektur überarbeiten wollen – unter anderem auch, weil immer mehr Virenspezialisten dem Bot mit Analysen zu Leibe rückten. Möglicherweise wurden die Verantwortlichen aber auch einfach nur von anderen Botnetzbetreibern (Srizbi, Mega-D, Rustock, Pushdo et al)  aus dem Markt gedrängt.

Analysen der zum Honeynet-Projekt gehörenden Forscher Tillmann Werner, Felix Leder und Mark Schlösser haben ergeben, dass die nun auferstandene Version einige kleine Unterschiede zum Original aufweist. So läuft die Kommunikation zwischen Bot und C&C-Server nun offenbar nur noch über HTTP ab. Darüber holen die Bots dann die Templates für ihre Spam-Kampagnen für Viagra und anderes Gedöns ab. Ehemals enthaltene Funktionen für Peer-to-Peer-Kommunikation seien gar nicht mehr enthalten. Ohnehin sei in der neuen Version nur noch rund 60 Prozent des alten Codes enthalten.

Nach Meinung der Forscher, die schon Anfang 2009 Analysen zum Sturm-Wurm und das Tool Stormfucker zur Bekämpfung veröffentlichten, könnten die Sturm-Entwickler seinerzeit den Originalcode aber auch weiterverkauft haben. Demnach könne die neue Variante auch zu einem neuen Botnetzbetreiber gehören.

Quelle : www.heise.de

[SiLæncer]

Die Rückkehr des Sturm-Wurms geisterte vor nicht all zu langer Zeit durch die Presse. Allerdings hält es sich laut Kaspersky momentan in Grenzen.

Kürzlich wurde weltweit eine Rückkehr des Stumr-Wurms, beziehungsweise Zhelatin gemeldet. Die neuesten Varianten des digitalen Ungeziefers sollen zirka 66 Prozent des Original-Codes enthalten. Die Sicherheits-Experten von Kaspersky haben sich die Analysen ebenfalls angesehen und kommen zu dem Schluss, dass die neuen Würmer lediglich die Spam- und die DDoS-Engine des Originals enthalten. Die Code-Beispiele telefonierten zu einem Server  nach Hause, der sich in Holland befindet. Die IP-Adresse des Servers ist fest eincodiert.
Shadowserver har den Provider bereits informiert und der böse Server sollte bald aus dem Netz verbannt sein. Somit sei diese Gefahr relativ einfach zu bannen. Man habe im Moment nicht mehr als 139 infizierte Rechner für Trojan.Win32.Fraudload.apnh gezählt. Somit sei die Gefahrenstufe nur als mittelmäßig einzustufen.

Quelle : www.tecchannel.de

[SiLæncer]

Eine zeitlang war der berüchtigte Storm-Worm maßgeblich am Spam- und Malware-Aufkommen im Internet beteiligt. Dann wurde es ruhig um das Botnet. Nun allerdings scheint es so, als sei Storm auf dem Weg zu einem Comeback: einige aktuelle Malware-Spam-Kampagnen tragen eindeutig die Handschrift einer neuen Generation des Schädlings.

Der originale Storm-Worm erlebte seine Blütezeit zwischen Januar 2007 und April 2008. Danach wurde der Schädling durch andere Malware-Typen verdrängt. Sicherheitsexperten spekulieren, das dies unter anderem mit dem riesigen Erfolg von Storm zusammenhing. Eine allzu verbreitete Malware läuft immer eher Gefahr, erkannt und durch Schutzmaßnahmen unbrauchbar gemacht zu werden, als eine obskurere.

Nun jedoch ist womöglich eine neue Storm-Generation auf dem Vormarsch. Sicherheitsexperten machen dies an einer Kampagne mit Malware verseuchter Spam-Mails fest, die kurz vor Weihnachten bekannt wurde. Der Schädling wird dabei in Mails verschickt, die sich als weihnachtliche E-Cards tarnen. Beim Aufruf der angeblichen Festtagsgrüße wird der Benutzer aufgefordert, eine angeblich zum Betrachten der Karte nötige Version des Flash-Players zu installieren. Diese allerdings enthält in Wirklichkeit den fraglichen Schädling.

Die Forschergruppe "Shadowserver Foundation" erklärt in einer Analyse, die Malware und insbesondere die generelle Taktik der verantwortlichen Cyberkriminellen trage deutliche Züge der lange Zeit inaktiven Botnets Storm und Waledac. Sie gehen daher davon aus, dass es sich um eine neue Version der Storm-Malware handelt. Ob diese jedoch ebenso erfolgreich sein wird wie der Vorgänger, bleibt abzuwarten.

Quelle : www.gulli.com