Thema: "Sturm-Wurm" schwappt durchs Netz

[SiLæncer]

Augen auf beim E-Mail-Austausch: Frei nach diesem Motto sollten alle Internetnutzer zur Zeit besonders aufpassen, wenn sie ihre elektronischen Nachrichten abrufen. Zwei Tage vor dem 13. Februar, dem Valentinstag, geistern zahlreiche E-Mails durch das world wide web, die äußerst unangenehme Folgen haben können. Sie tarnen sich als liebevolle Valentinsgrüße, sind aber mit unterschiedlichen neuen Würmern und Viren bestückt.
      
Gefährliche E-Mails

Die Experten von Sophos haben zwei neue Viren entdeckt, die ihre angeblichen Liebesgrüße via E-Mail-Attachment und Peer2Peer-Netzwerke verbreiten. E-Mails, die den Wurm Kipis.H enthalten, haben die Betreffzeile "Happy Valentine’s Day". Sobald der Wurm aktiviert ist, schaltet er den auf dem PC installierten Virenschutz aus. Außerdem gibt er Kriminellen über einen geöffneten Port Zugriff auf den PC. Außerdem sendet er sich an alle Kontakte im Adressbuch, wobei der die E-Mail-Adresse des Senders fälscht.

Der zweite neue Schädling namens VBSWG.D verbreitet sich in einer E-Mail mit der Betreffzeile "First Love Story…!!!" und einer Datei namens FirstLove.vbs. Am 14. Februar wird die sehr deutliche Meldung "Happy F***ing Valentine…!!!" angezeigt und der Computer automatisch heruntergefahren. Bereits zuvor hat sich der Wurm ebenfalls über eine eigene SMTP-Maschine an alle Kontakte weiterversendet, die auf dem PC gefunden werden konnten.

Das war noch lange nicht alles

Kipis-H und VBSWG-D sind die letzten in einer langen Reihe von Viren, die Grüße zum Valentinstag ausnutzen, damit Anwender schädlichen Code aktivieren:

    * Der LoveLetter Wurm war zum Zeitpunkt seines Umlaufs der größte Virus überhaupt. Er hat eine E-Mail mit der Betreffzeile "ILOVEYOU" versendet, die behauptete, einen Liebesbrief zu enthalten. Die Anklage gegen den mutmaßlichen philippinischen Autor wurde fallen gelassen, da die Gesetze zu diesem Zeitpunkt nicht ausreichend waren.
    * Der Bagle-W Wurm behauptete "I just need a friend", als er sich im April 2004 verbreitete. Er gab vor, eine Studentin zu sein, die einen "interessanten und aktiven Mann, der sich eine ernsthafte Beziehung wünscht", sucht. In der E-Mail enthalten war das Bild einer unschuldigen jungen brünetten Frau.
    * Der Lovelet-C Wurm verbreitete sich vor fünf Jahren über E-Mail-Systeme. Er lud Empfänger zu einem Treffen am selben Abend ein.
    * Der Wurmark Wurm, der derzeit im Umlauf ist, kann sich von E-Mail-Adressen, wie z. B. "RomeoRichard" und "Sexy_guy88", versenden und vorgeben, ein geheimer Bewunderer zu sein.
    * Der Yaha-K Wurm verwendet Betreffzeilen, wie "Wanna be my sweetheart?", "You are so sweet" und "Are you looking for love". Allerdings startet er von den infizierten Computern aus eine Attacke gegen Computer der pakistanischen Regierung.
    * Der Numgame Wurm versendet E-Mails mit der Nachricht "Are you my valentine?" und spielt ein Bildschirmspiel mit den infizierten Anwendern, bevor er sich auf andere Computer verbreitet.
    * Der Randex Netzwerkwurm versuchte, in Computersysteme mit einfachen Kennwörtern, u. a. ILOVEYOU, einzudringen.

Aufgrund der zahlreichen Bedrohungen, ist es dringend zu empfehlen, den Virenschutz zu aktualisieren. Andernfalls läuft man Gefahr, den eigenen PC mit einer Malware zu infizieren.^

Quelle : www.onlinekosten.de

[SiLæncer]

Mehrere Hersteller von Antivirensoftware warnen derzeit vor einem "Ausbruch" des Windows-Schädlings Trojan-Downloader.Win32.Small.dam. Der auch "Sturm-Wurm" genannte Schädling versucht durch Sensationsmeldungen rund um den Orkan Kyrill auf sich aufmerksam zu machen. Da sich der Trojaner nach bisherigen Erkenntnissen aber nicht selbst verbreitet, handelt es sich eigentlich nicht um einen echten Wurm.

Eine infizierte Mail trägt unter anderem den Betreff "230 dead as storm batters Europe" und verspricht im Anhang ein Video zu enthalten. Wenig überraschend steckt dort dann der Trojaner in einer ausführbaren Datei mit dem Namen FullClip.exe, FullStory.exe oder FullVideo.exe. Daneben enthalten andere, ebenfalls per Spam-Listen verteilte Mails mit dem gleichen Schädling englische Betreffzeilen zu einem angeblichen Genozid an britischen Muslimen. Eine weitere Variante kommt mit der Schlagzeile, Condoleezza Rice habe bei ihrem Besuch in Deutschland Angela Merkel getreten.

Der Trojaner lädt weitere Dateien aus dem Internet nach. Was er genau macht, verraten die Antivirenhersteller nicht. Laut GDATA wird unter anderem das Rootkit Win32.agent.dh installiert. Laut Sophos soll seit Mitternacht eine von 200 Mails den Trojaner enthalten. Ikarus will bereits 20.000 infizierte Mails mit 11 verschiedenen Trojaner-Varianten gesichtet haben. Noch nicht alle Hersteller stellen Signaturen bereit, mit denen die Trojaner erkannt werden.


Noch nicht alle Scanner erkennen den Sturm-Wurm und seine Varianten

Ob allerdings wirklich von einem Ausbruch gesprochen werden kann, ist fraglich. Der mittlerweile von Cisco gekaufte Hersteller Ironport etwa stellt in seiner Statistik jedenfalls keinen Ausbruch fest. Auch sind von anderen Beobachtern kaum Exemplare im Netz gesichtet worden. Trotzdem gilt wie immer: Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen. Gerade die kürzlich aufgetauchten Trojaner in gefälschten 1&1- und GEZ-Rechungen zeigen, wie reflexartig manche Anwender vorgehen.

Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.

Quelle : www.heise.de

[SiLæncer]

Die „Sturm-Wurm-Gang“ versendet zurzeit einen neuen Trojaner. Es ist eine Variante des kürzlich aufgetauchten Small.DAM. Ist der Schadcode erfolgreich, generiert dieser ein Peer-to-Peer-Botnet auf den Ports 7871/UDP und 4000/UDP.

Als Betreffzeile lassen sich die Versender immer neue, bizarre Themen einfallen. Darunter befinden sich zum Beispiel „President of Russia Putin is dead“, „Third World War just have startet!“ oder „Sadam Hussein alive!“. Die namen der Anhänge sind relativ gleich geblieben. E-Mails, die Video.exe, Full Video.exe, Read More.exe, Full Text.exe oder Full Clip.exe enthalten sollten schnellstens ins Nirvana wandern.

Liste aller bisher verwendeten Betreffzeilen:

Russian missle shot down Chinese satellite
Russian missle shot down USA aircraft
Russian missle shot down USA satellite
Chinese missile shot down USA aircraft
Chinese missile shot down USA satellite
Sadam Hussein alive!
Sadam Hussein safe and sound!
Radical Muslim drinking enemies' blood.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
U.S. Southwest braces for another winter blast. More then 1000 people are dead.
Venezuelan leader: "Let's the War beginning".
Fidel Castro dead.
Hugo Chavez dead.

President of Russia Putin dead
Third World War just have started!
The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
The commander of a U.S. nuclear submarine lunch the rocket by mistake.
First Nuclear Act of Terrorism!

And the attachment names are:

Video.exe
Full Video.exe
Read More.exe
Full Text.exe
Full Clip.exe

Die neuesten Versionen von heute sind:

So in Love
Happy World Religion Day!
Most Beautiful Girl
Someone at Last
I Believe
The Dance of Love
The Miracle of Love
All For You
Vacation Love
I am Complete
Wrapped Up
Moonlit Waterfall
A Little (sex) Card
A Special Kiss
Hugging My Pillow
Safe and Sound
You're Soo kissable
A Romantic Place
Breakfast in Bed Coupon
For You
I Love You So
Safe and Sound
Want to Meet?
We Are Different
We Have Walked
You Asked Me Why

New filenames include Flash Postcard.exe

Quelle: f-secure.com/weblog

[SiLæncer]

Der so genannte "Sturm-Wurm" dient zum Aufbau neuer Botnets, die noch mehr Spam versenden sollen. Dies wird bei der Analyse der Schädlinge offenbar, die bei dieser Kampagne verwendet werden.

Seit Freitag, 19. Januar, haben sich mehrere Wellen Spam-artig verbreiteter Mails über die Mailboxen von Internet-Nutzern ergossen. Die Mails enthalten keinen Text, jedoch ein Trojanisches Pferd im Anhang, das in etlichen verschiedenen Varianten eingesetzt wird. Die ganze Aktion dient dem Aufbau von Botnets.

Wie Amado Hidalgo von Symantec Security Response im Weblog der Sicherheitsforscher berichtet, installieren die ersten Schädlingsvarianten eine Art Rootkit, das den Datenverkehr der Malware tarnen soll. Die als "wincom32.sys" im System32-Verzeichnis abgelegte Treiberdatei ist selbst nicht getarnt und injiziert Programm-Code in laufende Windows-Prozesse.

Die Malware versucht über den UDP-Port 4000 Kontakt zu einer Art Peer-to-Peer-Netz aufzubauen, über das sie weitere Schädlinge herunter lädt und installiert. Das sind Dateien mit den Namen "game0.exe" bis "game5.exe". Dabei handelt es sich unter anderem um einen Mail-Proxy und einen Mail-Harvester. Ersterer leitet Spam-Mails weiter, letzterer sammelt neue Mail-Adressen auf dem verseuchten Rechner und schickt sie als JPG-Bild getarnt an einen Server.

Die verseuchten PCs bilden ein Netzwerk fremdgesteuerter Rechner ("Zombies"), ein Botnet. Dieses kann nun Spam verbreiten und als Download-Quelle für angehende Zombies dienen. In späteren Mail-Wellen haben die Versender neue Versionen des Rootkits eingesetzt, das nun auch mehr Tarnfunktionen mitbringt. Es versteckt seine Registry-Einträge sowie benutzte Netzwerk-Ports. Es verwendet nunmehr den UDP-Port 7871 statt 4000 zur Kommunikation.

Dieser Tarndienst kann mit dem Befehl "net stop wincom32" auf der Kommandozeile beendet werden, die versteckten Ports und Registry-Einträge werden dann wieder sichtbar. Die Eingabeaufforderung muss dazu allerdings mit Administratorrechten gestartet werden oder Sie benutzen den "runas"-Befehl auf der Kommandozeile.

Das auf diese Weise aufgebaute Botnet verbreitet so genannten Penny-Stock-Spam, also betrügerische Geldanlagetipps. Die fremdgesteuerten Rechner senden eine Stoßwelle von zum Teil mehr als tausend Mails in wenigen Minuten und halten danach wieder still. Sie geben den Staffelstab an den nächsten Zombie-Rechner weiter, der wiederum eine neue Spam-Welle ausstößt.

Quelle : www.pcwelt.de

[SiLæncer]

Die Wellen von Angriffen die mit dem Sturm-Trojaner begannen und dann zu Meldungen über den ausgebrochenen Weltkrieg mutierten, laufen weiter und haben nach Angaben von Symantec inzwischen rund 1.6 Millionen PCs versucht zu infizieren. In wie vielen Fällen die Angriffe erfolgreich gewesen seien, ist bislang unklar. Wie 'CRN' berichtet, würden die Mutationen weitergehen und aktuell vor allem Liebesbriefe mit gefährlichem Anhang versenden.

Neben Systemen mit Windows 2000 und XP scheint der Trojaner, der ein Hintertürprogramm installiert, um über UDP-Ports 4000 und 7871 Nutzerdaten abzugreifen oder Spam zu versenden, auch Rechner mit dem neuen Vista angreifen zu können. Windows 2003 Server seien von den Hackern, vermutlich aus Mangel an Zeit, explizit ausgenommen worden. Das die Bedrohung ernst zu nehmen ist, belegt die Tatsache, das Symantec erstemals seit Sober im Mai 2005 die Bedrohungsstufe 3 auf seiner Skala von 1 bis 5 ausgerufen hat.

Quelle: inside-it.ch

[SiLæncer]

Nach Angaben eines Antivirus-Herstellers haben neue Varianten bekannter Malware-Mails teilweise mehr als die Hälfte der abgefangenen schädlichen Mails ausgemacht. Diese Mails werden weiterhin Spam-artig verbreitet.

Der spanische Antivirus-Hersteller Panda Software warnt vor neuen Wellen des Wurms "Nurech.A". Nach Angaben von Virenforschern der Panda Labs in deren Weblog machen verschiedene Varianten dieses Schädlings zeitweise bis zu 60 Prozent der bei Panda erhaltenen Mails aus. Bei der darin enthaltenen Malware handelt es sich um immer neue Varianten von Schädlingen, die als " Sturm-Wurm " bekannt geworden sind. Die ersten Mails dieser Art tauchten kurz nach dem Orkan "Kyrill" auf und lockten unter anderem mit vorgeblichen Meldungen zu diesem Thema im Betreff.

Charakteristisch für Mails dieses Typs sind derzeit vor allem Betreffzeilen, die mit typischen Themen aus Grußkarten-Mails daher kommen. Aktuelle Beispiele sind etwa "Evening Romance Doing It for You", "Window of Beauty" oder "Together You and I". Ein Text ist in den Mails nicht enthalten. Im Anhang befindet sich der Schädling mit Dateinamen wie "flash postcard.exe", "greeting card.exe", "greeting postcard.exe" oder "postcard.exe" und einer Größe von etwa 52 KB.

Wird diese Datei geöffnet, versucht der Schädling diverse Sicherheitsprogramme außer Gefecht zu setzen. Falls der Benutzer die nötigen Rechte hat, beendet Nurech.A laufende Prozesse, deren Namensbestandteile auf ein Antivirusprogramm oder eine Software-Firewall hinweisen. Außerdem verfügt der Schädling über Rootkit-Funktionen, mit denen er sich verstecken kann. Er nistet sich als "wincom32.sys" im System32-Verzeichnis von Windows ein.

Mit den meist Spam-artig verbreiteten Mails werden immer neue Varianten des Schädling verschickt, die mehrmals pro Stunde neu erzeugt werden. Damit soll die Erkennung durch Antivirus-Software unterlaufen werden, was jedoch derzeit nur bedingt erfolgreich ist. Einige Antivirus-Hersteller, darunter auch das Open-Source-Projekt Clam, haben generische Signaturen entwickelt, die auch die neuen Varianten recht zuverlässig erkennen.

Quelle : www.pcwelt.de

[SiLæncer]

Vorgebliche Grußkarten-Mails sind ein beliebtes Vehikel zur Verbreitung von Malware. Zum Valentinstag verschickte Mails dieser Art verlinken auf eine Website, auf der Besuchern ein falscher Flash-Player angedient wird.

Heute ist Valentinstag - Happy Valentine. Wenn ihn die Floristen nicht schon so populär gemacht hätten, müssten das die Virenprogrammierer selbst tun. Denn wie Weihnachten und Neujahr ist der Valentinstag ein überzeugender Anlass zum Versenden und Empfangen von Grußkarten-Mails. Vermutlich sind darunter aber mehr falsche als echte, denn Viren-Spammer verbreiten massenhaft Grußkarten-Mails, die entweder auf eine mit Malware gespickte Website verlinken oder diese gleich als Anhang mitbringen.

So werden seit Dienstag neben neuen Varianten des " Sturm-Wurms " auch Mails verschickt, die vorgeblich von einem tatsächlich existierenden Grußkarten-Dienst "American Greetings" (hxxp://www.americangreetings.com) kommen. Die Links in den Mails führen jedoch nicht zu dessen richtiger Website, sondern zu Nachahmungen mit anderen Domain-Namen wie "americansgreetings.net" (oder ".biz", ".info", ."de" und weitere).

Dort wird Besuchern sofort die Notwendigkeit eines neuen Flash-Players verkündet und der Download eines angeblichen Installationsprogramms wird automatisch gestartet. Die Datei heißt "install_flash_player.exe" und ist etwa 20 KB groß. Verschiedene Web-Server liefern dabei unterschiedliche Versionen der Datei aus, die sich nur durch eine variierte EXE-Komprimierung unterscheiden.

Die gute Nachricht ist, dass zurzeit keiner dieser Server mehr erreichbar zu sein scheint. Der angebliche Flash-Player-Installer installiert keinen Flash-Player sondern ein Trojanisches Pferd, das aus dem Internet nachgeladen wird. Es klinkt sich als Browser Helper Object (BHO) in den Internet Explorer ein und kann so alle eingegebenen Zugangsdaten ausspionieren, etwa die für das Online-Banking. Der Download-Server dafür liefert noch und nimmt auch die ausspionierten Daten entgegen.

Quelle : www.pcwelt.de

[SiLæncer]

Ein neuer Schädling aus der Sturm-Wurm-Familie verbreitet sich über Webmail und fügt legitimen Mails und Foren-Postings Spam hinzu, der Leser auf eine Malware-Website locken soll.

Es ist nur scheinbar ruhig um die "Storm-Worm-Gang" geworden, tatsächlich sind ihre Mitglieder weiterhin sehr aktiv. Sie erdenken immer neue Wege, um ihre Schädlinge unters Volk zu bringen, die dem Aufbau neuer Botnets dienen. Wie wir bereits berichteten, haben sie eine Art Webmail-Wurm kreiert, der die Mail-Funktionen in Web-Portalen wie AOL oder Yahoo ausnutzt.

Eine Analyse von Eric Chien, Virenforscher bei Symantec Security Response, offenbart weitere Funktionen in diesem Schädling. Im Symantec Security Response Blog berichtet Chien über Postings legitimer Nutzer in Web-Foren, die Links auf mehrere verschiedene vorgebliche Grusskarten-Websites enthalten. Ganz normale und an sich harmlose Postings werden ebenso wie über Webmail versandte Mails um diese Links ergänzt.

Wie schon früher erzeugt die Sturm-Wurm-Bande ihre Malware mehrmals pro Stunde immer wieder neu, indem der gleiche Code Server-basiert mit leicht geänderten Parametern neu komprimiert und verschleiert wird. Die vorgeblichen Grusskarten-Websites starten dann beim Aufruf im Browser automatisch den Download der frisch erzeugten Malware.

Wie die nachfolgende Tabelle zeigt, haben verschiedene Antivirus-Hersteller Wege gefunden auch frisch generierte Malware-Varianten zu erkennen. Die für die Tabelle verwendete Malware ist neuer als die überwiegende Zahl der zum Scannen eingesetzten Antivirus-Updates. Die Erfahrung lehrt jedoch, dass die Sturm-Wurm-Gruppe bald ihre Verfahren anpassen und die Download-Server wechseln wird, womit das Katz-und-Maus-Spiel wieder in eine neue Runde gehen dürfte.

Quelle : www.pcwelt.de

[SiLæncer]

Eine neue Wurmversion aus der Nuwar/Zhelatin-Familie greift einen Trick auf, den bereits der Bagle-Wurm eingesetzt hat: Um einer Erkennung durch Viren-Scanner zu entgehen, ist die ausführbare Datei mit dem Schadcode in einem passwortgeschützten ZIP-Archiv versteckt.

 Die Wurm-Mail warnt den Anwender vor einem gefährlichen Wurm, gegen den der angehängte Patch schützen soll. Er sei aus Sicherheitsgründen verschlüsselt und der Anwender solle das Passwort eingeben, um ihn zu installieren. Um sich vor Scannern zu schützen, die Text analysieren, ist dieser ähnlich wie bei manchen Spam-Mails nur als Bildatei eingebunden.

Diese Vorgehensweise zeigt Erfolg: Während nahezu alle Scanner den ausgepackten Schädling erkennen, ist die Erkennungsrate der verschlüsselten ZIP-Datei recht schlecht. Somit kann sich der Wurm zumindest an vielen Viren-Scannern auf Mail-Gateways vorbeimogeln. Ein aktiver Virenwächter auf dem Arbeitsplatzsystem sollte allerdings spätestens beim Öffnen des verschlüsselten Archivs anschlagen. Über den c't-Emailcheck können Sie sich unter anderem auch einen harmlosen, verschlüsselten Testvirus zusenden lassen (EICAR in passwortgeschütztem ZIP-Archiv), mit dem Sie überprüfen können, wie Ihr Virenschutz auf deratige Tricks reagiert.

Quelle : www.heise.de

[SiLæncer]

Eine neue Welle des so genannten Sturm-Wurms wird über vorgebliche Grußkarten-Mails verbreitet. Teilweise enthalten die Mails Links zu angeblichen Grußkarten-Seiten, zum Teil steckt die Malware auch direkt im Anhang.

Als Postkarten-Mails getarnte Malware ist keine ganz neue Masche, wurde bislang jedoch selten auf so breiter Front eingesetzt wie zurzeit. Bereits seit einigen Tagen werden Spam-artig Mails verschickt, die einen Betreff wie "You've received a greeting postcard from a friend!" tragen. Dabei variieren die Angaben im Betreff, von wem man angeblich eine Grußkarte erhalten habe, von "friend" über "neighbor" und "school-mate" bis "worshipper". Die in den Mails genannten Grußkarten-Websites, über die diese Mails angeblich verschickt werden, reichen von "123greetings.com" über "bluemountain.com" bis "MyPostcards.Com".

Die meisten dieser Mails enthalten einen Link zu einer IP-Adresse mit einem zusätzlichen Parameter, zum Beispiel "123.123.12.34/?1651a6468e45d131c351654". Über Sicherheitslücken im Browser wird beim Aufruf versucht, Malware einzuschleusen. Wird keine passende Sicherheitslücke gefunden, erscheint auf der Seite eine Meldung "We are currently testing a new browser feature. If you are not able to view this ecard, please click here to view in its original format" - der Besucher soll sich also die Malware "ecard.exe" selbst herunter laden. Diese gehört zur Familie des so genannten Sturm-Wurms und dient dem Aufbau von Botnets.
Neuere Mails bringen, wie schon früher üblich, den Schädling gleich als Anhang mit. Der Betreff lautet hier einfach "Hi, you.ve just received a postcard." und der Anhang heißt "postcard.exe". Diese Malware gehört zur Familie Stration/Warezov und verfolgt das gleiche Ziel wie die "Sturm-Würmer".

Quelle : www.pcwelt.de

[SiLæncer]

Der Sturm-Wurm tobt weiter durch die Mailboxen. Nach Grußkarten sind nun vorgebliche Warnungen vor einer Spyware-Infektion Thema der Mails. Sie verlinken auf Websites, die versuchen Malware einzuschleusen.

Die Sturm-Wurm-Gang wechselt einmal mehr die Masche. Nach vorgeblichen Grußkarten-Mails und Mail-Grüßen zum amerikanischen Unabhängigkeitstag sind es nunmehr vorgetäuschte Warnungen vor einer angeblichen Infektion mit Malware oder Spyware. Die Mails werden Spam-artig verbreitet und kommen mit gefälschten Absenderangaben sowie einem Betreff wie "Spyware Detected!", "Malware Alert!", "Worm Alert!", "Worm Activity Detected!" oder "Virus Detected!".

Im Text wird behauptet, man habe ungewöhnliche Mail-Aktivitäten beobachtet, die von der IP-Adresse des Empfängers ausgingen. Der Rechner sei womöglich nicht mit aktuellen Updates versehen. Die Empfänger werden aufgefordert eine (von mehreren verschiedenen) in den Mails verlinkten Websites zu besuchen und einen Patch herunter zu laden. Andernfalls werde das Benutzerkonto gesperrt.

In dieser Seite enthaltener Script-Code versucht über Sicherheitslücken im Browser Malware einzuschleusen. Gelingt dies nicht, zeigt die Seite einen Text an, der zum Download einer "patch.exe" auffordert. Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nach lädt.

Quelle : www.pcwelt.de

[SiLæncer]

Die Spam-Welle falscher Grußkarten-Mails reißt nicht ab. Bereits seit vier Wochen fluten die Botnets der Storm-Worm-Gang weltweit die Mailboxen mit angeblichen Grußkarten, in denen Links zu Malware-Sites führen.

Einen so lange andauernden Malware-Ausbruch hat es schon seit längerer Zeit nicht mehr gegeben. Die Masche ist offenbar weiterhin erfolgreich, sonst hätten die Versender die Taktik längst gewechselt. Bereits seit Ende Juni versenden die fremdgesteuerten Zombie-Rechner aus den Botnets der "Sturm-Wurm-Bande" Mails mit einem Betreff wie "You've received a greeting postcard from a friend!", wobei das letzte Wort statt "friend" zum Beispiel auch "class-mate", "worshipper" oder "Neighbour" lauten kann. Um den 4. Juli herum nutzten sie vorübergehend den amerikanischen Unabhängigkeitstag als Aufhänger für die Mails.

Der englische Text fordert die Empfänger auf, einen Link anzuklicken oder diesen in den Browser zu kopieren. Der zeigt direkt und offensichtlich auf eine IP-Adresse. Das allein sollte die Empfänger an sich schon misstrauisch machen. Wer den Link aufruft, landet auf einer Seite, die mittels Javascript den Browser ermittelt und dann, wenn vorhanden, einen passenden Exploit zum Einschleusen von Malware anwendet.

Der eingeschleuste Schädling ist ein Downloader (ecard.exe), der weitere Malware nachlädt. Diese verwandelt den Rechner dann in einen so genannten Zombie, also in einen Teil eines Botnets, ein Netzwerk fremdgesteuerter PCs, die Spam versenden, Malware beherbergen und/oder DoS-Angriffe ausführen.

Die Programmierer der Sturm-Wurm-Bande entwickeln ihre Schädlinge ständig weiter. So kommen nicht nur in sehr kurzen Intervallen neue Varianten heraus, die die Erkennung durch Virenscanner vermeiden sollen. Inzwischen haben sie ihren Machwerken auch beigebracht, virtuelle Maschinen wie VMware oder Microsofts Virtual PC zu erkennen. Sie sollen den Virenforschern der Antivirus-Firmen die Arbeit erschweren, indem sie in solchen virtuellen Umgebungen nicht laufen.
Die meisten Antivirus-Hersteller haben sich zwar auf diese Malware eingestellt, einige haben jedoch noch immer Probleme damit. Bis Signatur-Updates erscheinen, die eine aktuelle Variante dieser Malware erkennen, sind längst neue Varianten im Umlauf.

Quelle : www.pcwelt.de

[SiLæncer]

Anfang des Jahres wehte er noch als leichte Brise herein: der Sturm-Wurm. Inzwischen hat er sich jedoch tatsächlich zum ausgewachsenen Sturm entwickelt. Das mit dem Schädling aufgebaute Botnetz sei auf mehr als 1,7 Millionen Drohnen, also infizierte Rechner, angewachsen, meldet der Sicherheitsdienstleister SecureWorks. Das Netz diene bislang vorrangig dem Versand von Spam-Mails, könne jedoch auch für DDoS-Angriffe gegen Unternehmen oder gar Länder eingesetzt werden, schreibt das Unternehmen.

Zwischen Januar und Mai dieses Jahres konnte SecureWorks 71.342 Angriffe mit dem Sturm-Wurm feststellen, äußert der Sicherheitsforscher Joe Stewart. Seit Juni habe die Firma jedoch 20.200.101 Angriffe abgewehrt. Auch die Zahl infizierter Rechner, von denen die Angriffe mit E-Mails ausgingen, sei dramatisch angestiegen: Während Anfang des Jahres bis Ende Mai lediglich knapp 3000 Rechner infiziert waren, stieg die Zahl im Juni und Juli auf insgesamt 1,7 Millionen Drohnen an. SecureWorks mutmaßt, dass der Botnetzbetreiber das Netzwerk deshalb so weit ausgebaut habe, damit er es anderen Hackern vermieten oder Angriffe ausführen könne.

Laut McAfee sei der enorme Anstieg an infizierten Rechnern auf die Social-Engineering-Taktik der Schädlingsbastler zurückzuführen, die etwa vermeintliche Grußkarten-Mails mit infizierten Dateianhängen und Links auf Webseiten verschickt haben, die Schwachstellen im Webbrowser der Anwender ausnutzten. Der Antivirenhersteller vermutet das Sturm-Wurm-Botnetz auch hinter den kürzlich versendeten Spam-Mails, die als Dateianhang RAR-Archive mit einer Textdatei enthielten. Aktuelle Versionen des Schädlings nutzen McAfee zufolge ungewöhnliche Ansätze, um sich im System zu verankern. Anstatt sich einfach über die Autostart-Einträge in der Registry einzunisten, infizieren die aktuellen Fassungen die Datei tcpip.sys und hängen Code zum Laden des Schädlings an den Treiber an. McAfee spricht dabei von einem Trend, dem Schädlinge zunehmend folgen, um nach dem Rechnerneustart geladen zu werden.

Als Schutz vor dem Schädling empfiehlt SecureWorks, einerseits Vorsicht bei E-Mails mit vermeintlichen Grußkarten im Gepäck beziehungsweise als Link oder mit Katastrophenmeldungen walten zu lassen. Als weitere Maßnahme solle man Peer-to-Peer-Verkehr blockieren, da der Sturm-Wurm sich mit weiteren Botnetz-Drohnen mittels des eDonkey-Protokolls verbinde. Wie man das anstellt, lässt SecureWorks jedoch offen; das eDonkey-Protokoll ist nicht auf bestimmte Netzwerk-Ports beschränkt.

Quelle : www.heise.de

[SiLæncer]

Die Sturm-Wurm-Bande variiert ständig ein wenig ihre Taktik, bleibt jedoch bei dem offenbar recht erfolgreichen Verbreitungsweg über Spam-artig verschickte, vorgebliche Grußkarten-Mails.

Die seit Jahr und Tag existierenden, legitimen Online-Postkartendienste stehen ihrer wohl bislang größten Herausforderung gegenüber. Seit Monaten überflutet die Sturm-Wurm-Bande die Mailboxen von Internet-Nutzern weltweit mit vorgeblichen Grußkarten-Mails. Viele Anwender sind mittlerweile aus gutem Grund misstrauisch gegenüber Mails, die einen Link zu einem Online-Gruß enthalten. Das gefährdet jedoch die Existenz der legitimen Dienste, die sich rasch ein neues Modell für ihre Online-Grüße ausdenken müssen - eines, das ohne Links in Mails auskommt.

Die Sturm-Wurm-Bande hat mit ihren Schädlingen der Nuwar-/Zhelatin-Familie ("Sturm-Wurm") in den letzten Monaten ein riesiges Botnet mit mehr als einer Million Zombies aufgebaut. Diese verbreiten sowohl vorgebliche E-Card-Mails als auch gewöhnlichen Aktien-Spam. Die Grußkarten-Taktik scheint nach wie vor erfolgreich zu sein. Um Spam-Filter und Antivirus-Software auszutricksen, die solche Mails abfangen, verändern die Malware-Spammer von Zeit zu Zeit ihre Mails ein wenig. Die Malware-Dateien selbst werden ohnehin in sehr kurzen Intervallen neu generiert.

In dieser Woche haben sie außerdem auch die verlinkten Websites ein wenig umgestrickt. Wer mit einem Browser auf die Seite geht, den sie nicht mit einem Exploit zum Einschleusen ihrer Malware ausnutzen können, erhält nun die Aufforderung eine angeblich notwendige Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren.
Diese sollen sie gleich von derselben Seite herunter laden. Die derart angebotene Datei "msdataaccess.exe" ist ein Downloader, der den PC mit nachgeladener Malware verseucht und in eine fremdgesteuerte Spam-Schleuder verwandelt. Der Rechner ist fortan Teil des über P2P-Techniken kontrollierten Sturm-Wurm-Botnets.

Dieses Botnet setzt sich zudem heftig zur Wehr, wenn etwa Universitäten versuchen ihre Netzwerke nach infizierten Zombie-PCs zu scannen. Das Botnet reagiert darauf mit lange andauernden DDoS-Angriffen (Distributed Denial of Service) auf den Scan-Rechner, an denen weltweit verteilte Zombies beteiligt sind.

Quelle : www.pcwelt.de

[SiLæncer]

Die Sturm-Wurm-Bande hat einmal mehr ihre Taktik geändert. Nachdem mehrere Monate lang vorgebliche Grußkarten-Mails die Mailboxen verstopften, verbreiten die Spam-Schleudern nun Links zu angeblichen Fotos vernachlässigter Frauen.

Mit den seit Monaten notorischen E-Card-Mails scheint es vorbei zu sein. Die Betreiber legitimer Grußkartendienste können aufatmen. Am letzten Freitag hat die so genannte Storm-Worm-Gang eine neue taktische Variante eingeführt. Sie hatten bereits in den letzten Wochen mehrfach kleine Änderungen vorgenommen, indem sie den Aufbau der vorgeblichen Grußkarten-Mails sowie der verlinkten Web-Seiten variierten. Jetzt haben sie sich auf die Verbreitung von Links zu angeblichen Fotos einsamer Damen verlegt.

Die Mails enthalten meist fast keinen Text und kommen mit einem Betreff wie:

"Lonely? Me too. Look what I like to do when I get lonely."
"I never thought I would ever take these kind of pics, but it makes me so wet. take a look, hehe."
"Don't tell my husband I gave you these pics. He would kill me. hehe"
"let me know if you like my pics, maybe I will send you more!"
"Oh man, I need someone to please me. Check out my pictures, maybe its you..."
"My EX-boyfriend took these of me in bed. Do you think he misses me."

Im Text dieser Mails heißt es dann nur noch lapidar "click http://<IP-Adresse>/". Andere Varianten kommen ohne Betreff und einer der oben genannten Sprüche steht im Mail-Text. Die verlinkten Websites versuchen weiterhin anfällige Browser, vor allem den Internet Explorer, durch Exploit-Code für bekannte Sicherheitslücken zum Einschleusen von Malware aus der Nuwar-/Zhelatin-Familie auszunutzen.

Wenn kein passender Exploit im Repertoire ist, erscheint eine Seite mit der Aufforderung eine Windows-Komponente namens "Microsoft Data Access" nachzuinstallieren. Dazu bietet die Seite eine Datei "msdataaccess.exe" an, einen Downloader für die Bot-Software der Storm-Worm-Gang. Dieser lädt weitere Malware nach, die den Rechner in das Botnet der Sturm-Wurm-Bande eingliedert und ihn in eine fremdgesteuerte Spam-Schleuder umfunktioniert.

Quelle : www.pcwelt.de