Thema: "Sturm-Wurm" schwappt durchs Netz

[SiLæncer]

Die so genannte Storm-Worm-Gang hat erneut ihre Taktik geändert. Die Spam-artig versandten Mails enthalten nunmehr angebliche Anmeldedaten für Community-Websites - die Links führen jedoch wie bisher zu Malware-Sites.

Erst kurz vor dem letzten Wochenende hatte die Sturm-Wurm-Bande ihre über mehrere Monate betriebene Masche vorgeblicher Grußkarten-Mails aufgegeben und sich neuen Themen zugewandt. Bereits gestern haben sie erneut das Thema gewechselt und versenden nunmehr vorgebliche Anmeldebestätigungen für Community-Sites. Die Mails enthalten fiktive Zugangsdaten und einen Link zu einem von vielen nur vorübergehend erreichbaren Web-Servern.

Die Links zeigen wie gehabt ganz offen auf eine IP-Adresse - ohne jeden Verschleierungsversuch. Die neue Masche mit den Login-Daten ist jedoch ebenso tückisch wie Erfolg versprechend. Auch misstrauischere Naturen werden die Gefahr nicht bereits beim Klick auf den Link vermuten. Wenn die Neugier siegt, etwa weil eine Website wie "Ringtone Heaven" oder "WebTunes" lockt, landet das Opfer auf einer Seite, die den verwendeten Browser ermittelt und sogleich passenden Exploit-Code lädt.

Wird der Browser als nicht angreifbar erkannt, lädt der Web-Server eine Seite, die zum Download eines "Secure Login Applet" auffordert. Anklicken des angebotenen Download-Links schaufelt eine Datei namens "applet.exe" auf die Festplatte, bei der es sich um Malware handelt.

So wird ein Schädling aus der Nuwar-/Zhelatin-Familie eingeschleust, der den PC in eine fremdgesteuerte Spam-Schleuder verwandelt. Er wird als so genannter Zombie Teil eines mittlerweile weit über eine Million Rechner umfassenden Botnets. Die in den Mails verlinkten Web-Server sind meist nur für wenige Stunden erreichbar. In dieser Zeit werden die EXE-Dateien im 30-Minuten-Takt automatisch neu gepackt, um die Erkennung durch Antivirus-Programme zu erschweren.

Quelle : www.pcwelt.de


Siehe auch hier : http://www.dvbcube.org/index.php?topic=21991.0

[SiLæncer]

Die Sturm-Wurm-Bande setzt inzwischen offenbar auf eine Doppelstrategie beim Mail-Versand. Es werden sowohl vorgebliche Grußkarten-Mails verschickt als auch Mails mit scheinbaren Links zu YouTube.

Am Ende der letzten Woche hatte es noch so ausgesehen, als hätten sich die Versender einfach wieder auf die über mehrere Monaten bewährte Masche mit vorgeblichen Grußkarten-Mails besonnen. In Spam-artig verbreiteten Mails werden seitdem wieder falsche Grüße versandt, die Links auf Malware-haltige Websites enthalten. Diese Mails kommen mit einem Betreff wie zum Beispiel "You Have An Ecard", "A card for you" oder "Here is Your Ecard".

Inzwischen haben die Mail-Versender komplett auf HTML-Mails umgestellt. Dadurch ist das Link-Ziel in einer Mail nicht mehr so offensichtlich. Erst bei genauerer Betrachtung stellt sich heraus, dass die Links wie gehabt auf IP-Adressen zeigen. Auch die neue Masche der Sturm-Wurm-Bande benutzt diese Methode, verwendet jedoch YouTube als Köder.
Die neueren Mails werden mit einem Betreff wie "Where did you take that?", "sheesh man, what are you thinkin", "HAHAHAHAHAHA, man your insane!" oder auch "ROTFLMAO, who is that your with?" verbreitet. Der Text weist auf ein angebliches YouTube-Video hin, das dem Mail-Empfänger wohl peinlich sein sollte. Der sichtbare Link-Text lautet dann zum Beispiel "

", tatsächlich jedoch zeigt der Link wieder einmal auf eine IP-Adresse.

Die verlinkten Websites liegen auf Zombie-PCs im Botnet der Sturm-Wurm-Bande und zeichnen sich durch eine recht kurze Lebensdauer aus. Wer dem Link folgt und die Seite im Internet Explorer öffnet, läuft Gefahr seinen Rechner mit Malware zu verseuchen. Automatische Scripte ermitteln den Browser und liefern passenden Exploit-Code, der Sicherheitslücken im Browser ausnutzt, um Malware aus der Familie Nuwar/Zhelatin einzuschleusen.

Wer mit einem Browser auf die Seite geht, für den kein geeigneter Exploit bereit liegt, wird zum manuellen Download der Malware aufgefordert, inzwischen mit dem Dateinamen "video.exe". Die Seite zeigt sogar ein YouTube-Logo, um die Glaubwürdigkeit des Köders zu erhöhen. Wie schon seit Monaten werden die derart mit Malware verseuchten Rechner als so genannte "Zombies" in das Botnet der Täter eingegliedert und zu einer fremdgesteuerten Spam-Schleuder umfunktioniert.

Quelle : www.pcwelt.de

[SiLæncer]

"Dude, what if your wife finds this? - Man you have got to tell me where you picked her up. I saw this on the web, it has to be you. see for yourself... http://www.youtube.com/watch?v=xxxxxxxxx" – solche und ähnliche Blog-Einträge tauchen derzeit massenhaft vor allem auf Googles Blogspot auf. Die Einträge stammen von neuen Varianten des Sturm-Wurm-Trojaners, der nun auch in der Blogosphäre nach Opfern sucht.

Bereits am vergangenen Wochenende vollzog sich der Wechsel von Grußkarten-Mails mit Schädling im Anhang hin zu der YouTube-Masche. Die englischsprachigen E-Mails enthalten einen vermeintlichen Link auf ein YouTube-Video, der den Anwender jedoch zu einer numerischen IP-Adresse führt. Auf der Seite befindet sich ein YouTube-Logo und der Hinweis, dass der Download in wenigen Sekunden starten solle, gegebenenfalls solle man dem Link zum angeblichen Video auf der Seite von Hand folgen. Der Download enthält allerdings mitnichten ein YouTube-Video, sondern hinter der Datei video.exe verbirgt sich eine Sturm-Wurm-Variante. Eine weitere neue Variation gibt laut Sophos vor, ein bislang unveröffentlichtes Musikvideo auf YouTube zu verlinken.

Jetzt sind auch Einträge in Blogs aufgetaucht, die dieselben Texte und Links enthalten wie die YouTube-Schädlings-Mails. Auch hier steckt hinter dem vermeintlichen YouTube-Link eine numerische IP-Adresse. Eine Suche mit Google nach den typischen Betreff-Zeilen der Mails mit vermeintlichen YouTube-Links liefert zahlreiche "verseuchte" Blog-Einträge. Die Links auf das vermeintliche Video führen zumeist ins Nichts, da sie offenbar dynamisch vergebene IP-Adressen von befallenen Rechnern referenzieren und diese Rechner inzwischen entweder offline sind oder bereits eine andere IP-Adresse zugewiesen bekommen haben. Falls man doch auf einen funktionierenden Link trifft, sollte man den Download unbedingt vermeiden, um nicht Gefahr zu laufen, seinen Rechner zu infizieren.

Wie der Sturm-Wurm Einträge in den Blogs vornehmen kann, ist allerdings noch unklar. Bislang sind etwa automatische Blog-Spam-Werkzeuge wie xRumer bekannt, die zahlreiche Sicherheitsmechanismen wie Captchas und Anmeldungen aushebeln können, um Spam-Kommentare in Foren und Blogs einzustellen – xRumer ist für 450 US-Dollar zu haben. Allerdings handelt es sich bei den Einträgen des Sturm-Wurms in den Blogs nicht um Kommentare, sondern um echte Blog-Einträge. Möglicherweise hat der Trojaner Zugangsdaten zu den Blogs auf infizierten Rechnern ausgespäht.

Um sich vor einer Infektion mit dem Sturm-Wurm zu schützen, sollten Anwender beim Öffnen von E-Mails Vorsicht walten lassen und etwaige Dateianhänge nicht ausführen. Sie sollten ebenfalls bei Links in E-Mails kritisch sein. Weiterhin sollten alle Sicherheitsupdates installiert sein und ein aktuelles Antivirenprogramm zum Einsatz kommen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Anti-Viren-Seiten von heise Security.

Quelle und Links : http://www.heise.de/newsticker/meldung/95161

[SiLæncer]

Das Botnet der Sturm-Wurm-Bande hätte inzwischen mehr Rechenleistung als die Top 10 der Supercomputer zusammen, wenn man die Zombie-Rechner gemeinsam an einer Rechenaufgabe arbeiten ließe.

Die Größe des von der Storm-Worm-Gang aufgebauten Botnets wird von Sicherheitsfachleuten auf eine bis zehn Millionen Zombie-PCs geschätzt. Geht man bei der durchschnittlichen Ausstattung eines dieses Computer von einer CPU mit 2 bis 3 GHz und 1 GB RAM aus, schlägt das Sturm-Wurm-Botnet den derzeit leistungsstärksten Supercomputer, den IBM BlueGene/L, um Einiges. Zu dieser Einschätzung kommt jedenfalls Prof. Peter Gutmann von der Universität Auckland in Neuseeland.

Die Nummer 1 der Top-500-Liste der stärksten Supercomputer verfügt über 128.000 Prozessorkerne und 32 TB RAM (1 Terabyte sind 1000 Gigabytes). Mit ein bis zehn Millionen GB Arbeitsspeicher und ebenso vielen CPU-Kernen liegt das Sturm-Wurm-Botnet weit darüber und schlägt die gesamten Top 10 der Liste gleich mit. So viel geballte Rechenleistung steht damit erstmals nicht unter der Kontrolle von Regierungsorganisationen oder Universitäten - sie befindet sich in der Hand von Kriminellen.
Dieses (zugegeben theoretische) Potenzial könnte von der organisierten Kriminalität benutzt werden, um etwa in großem Stil Passwörter zu knacken oder verschlüsselte Daten zu dechiffrieren. Geheimdienste hätten zweifellos ihre Freude an einem derart leistungsfähigen System - in der Hand von Kriminellen sollten uns diese Möglichkeiten jedoch noch weitaus mehr Sorgen machen.
Dass sich viele einzelne Heim-Computer zu einem äußerst leistungsfähigen Verbund zusammen schließen lassen, haben Projekte wie SETI@home bereits unter Beweis gestellt. Umso wichtiger wäre es, dass jeder, der mit seinem Windows-PC online ist, diesen so gut es eben geht vor Malware-Befall schützt.

Quelle : www.pcwelt.de

[SiLæncer]

Die neueste Masche der Sturm-Wurm-Bande sind Mails, die potenzielle Opfer auf Websites mit vermeintlichen Spiele-Downloads locken sollen. Außerdem verbreiten bereits rekrutierte Zombie-Rechner massenhaft dubiose Jobangebote.

Das Botnet der Storm-Worm-Gang wird fleißig weiter ausgebaut. Die aktuelle Mail-Kampagne versucht potenzielle Opfer auf grafisch vergleichsweise aufwändig gestaltete Websites zu locken, wo sie sich ein vermeintliches Spiel herunter laden sollen. Die Mail kommen mit einem Betreff wie "Wow, cool games!", "1000+ Free Games!", "GAMES! GAMES!" oder auch "The internet just got better". Sie enthalten meist nur den Text "Enjoy" sowie einen Link auf eine IP-Adresse.

Die verlinkten Websites sind alle identisch und zeigen im Vergleich zu früheren Kampagnen recht viele Bilder. Damit soll eine Download-Site für kostenlose Spiele vorgetäuscht werden. Alle Links auf der Seite zeigen allerdings auf die selbe Datei namens "ArcadeWorld.exe". Dabei handelt es sich um ein Trojanisches Pferd aus der Sturm-Wurm-Familie (Nuwar, Peacomm, Tibs, Zhelatin). Die Web-Seiten enthalten im Gegensatz zur vorherigen "NFL-Kampagne" jetzt wieder Javascript-Code, mit dem Sicherheitslücken im Browser ausgenutzt werden sollen.

Laut Nicolas Falliere von Symantec Security Response ist eine derzeit zu beobachtende Welle von Spam-Mails, die Jobs als Geldwäscher für Kriminelle anbieten, ebenfalls auf das Botnet der Sturm-Wurm-Bande zurück zu führen. Sie enthalten Links auf eine Website, auf der ein "Supplier" unverblümt eine Provision von 10 Prozent für das "Waschen" von ergaunertem Geld anbietet.

Eine weitere, für die Sturm-Wurm-Bande neue Methode ist das Kompromittieren legitimer Websites. Haben sich die Täter bislang vor allem durch eine große Zahl kurzlebiger eigener Websites auf Botnet-Rechnern hervor getan, berichtet das Sicherheitsunternehmen Websense nun über einen erfolgreichen Angriff auf eine Website der Republikanischen Partei in den USA. Die Seiten sind mit einem am Ende eingefügten Iframe versehen worden, der schädlichen Code aus der Sturm-Wurm-Familie lädt. Inzwischen ist zumindest diese Website wieder sauber.

Quelle : www.pcwelt.de

[SiLæncer]

Die nächste Welle von Malware-Spam soll potenzielle Opfer auf eine präparierte Website locken, die den Download einer vorgeblichen P2P-Software anbietet.

Zwar sind bislang noch nicht sehr viele Mails der Sturm-Wurm-Bande aufgetaucht, die Welle rollt jedoch an. Das Botnet ist vorbereitet ständig Websites mit neuen IP-Adressen bereit zu stellen, die neue Schädlingsvarianten ausliefern. Zielscheibe der neuen Kampagne sind vorwiegend Nutzer von P2P-Dateitauschdiensten.

Die Mails der Sturm-Wurm-Bande sind regelmäßig daran zu erkennen, dass sie nur wenig Text und einen Link enthalten, der direkt auf eine IP-Adresse zeigt. Der Betreff der aktuellen Malware-Spams lautet zum Beispiel: "here is the music you wanted", "man here is the link", "you have go tot get this", "here is the krackin link", "krackin download" oder auch "check it out".
In der aktuellen Fassung bieten die darin verlinkten Websites unter dem Titel "Krackin - The Global Sharing Network" eine vorgebliche P2P-Software namens "Krackin" an. Die angebotene Datei "krackin.exe" ist eine neue Fassung des Sturm-Bots aus der Malware-Familie Nuwar/Peacomm/Zhelatin. Ganz falsch ist die Bezeichung "P2P-Software" jedoch auch nicht - immerhin nutzt das Sturm-Botnet intern eifrig P2P-Techniken, neuerdings sogar mit verschlüsseltem Datenverkehr.
Auch wer die angebotene Datei nicht herunter lädt und startet, ist in Gefahr, wenn er die Website öffnet. Mehrfach verschleierter Javascript-Code auf Basis des Angriffs-Kits "MPack" wartet darauf Sicherheitslücken im Browser ausnutzen zu können, um Malware (die so genannte "Payload") einschleusen zu können.

Quelle : www.pcwelt.de

[SiLæncer]

Kaum ein Tag vergeht, ohne dass Sicherheits-Experten neue Varianten des "Sturm-Wurms" melden. Zeitweise wurden gar Befürchtungen laut, dass das Bot-Netzwerk der Sturm-Wurm-Urheber über 50 Millionen umfassen würde. Nach Ansicht des Sicherheits-Experten Brandon Enright, der sich ausführlich mit dem Sturm-Wurm befasst hat, ist diese Zahl extrem übertrieben. Enright zufolge ist die Sturm-Wurm-Flut mittlerweile nicht viel mehr, als eine kleine Welle.

Millionen infizierte Rechner, ein Botnet mit über 50 Millionen PCs und damit mehr Rechenleistung, als jeder Supercomputer, Großangriffe auf noch unbekannte Ziele - die Liste der Mutmaßungen rund um den "Sturm-Wurm" ist lang. Brandon Enright, Sicherheits-Experte bei UC San Diego hat sich seit Juli dieses Jahres eingehend mit der Malware befasst und präsentierte seine Ergebnisse auf der Toorcon Hacker-Konferenz in San Diego und gab Entwarnung. Dies meldet der IDG News Service.

Der Sturm-Wurm ist im eigentliche Sinne kein Wurm, sondern ein Netzwerk infizierter Rechner, die zentral über das Overnet P2P-Protokoll kontrolliert werden. Enright hat eigenen Angaben zufolge eine Software entwickelt, die das Sturm-Netzwerk durchforstet. Daher ist er auch der Ansicht, relativ genau abschätzen zu können, wie groß das Netzwerk wirklich ist. Einige Experten gingen bislang davon aus, dass das Sturm-Netzwerk über 50 Millionen Rechner umfassen könnte, was ein durchaus beunruhigender Wert wäre. Die tatsächliche Zahl liegt laut den Ergebnissen von Enright jedoch weit darunter. So habe der Sturm-Wurm im Juli 1,5 Millionen Rechner infiziert, davon seien rund 200.000 jederzeit erreichbar gewesen. Insgesamt habe der Sturm-Wurm seit Erscheinen vor rund neun Monaten laut Schätzungen von Enright weltweit 15 Millionen PCs infiziert. Der Großteil davon dürfte mittlerweile aber mittels Antiviren-Software gesäubert sein.
Seit Juli geht es für den Sturm-Wurm zudem abwärts, so Enright. Zu diesem Zeitpunk haben die Antiviren-Hersteller ihre Bemühungen bei der Erkennung des Sturm-Wurms und dessen Varianten intensiviert, was erkennbar Früchte getragen hat. Zudem habe Microsoft am 11. September die Signatur des Sturm-Wurms seinem Malicious Software Removal Tool hinzugefügt. Quasi über Nacht sei dann die Zahl der Neuinfektionen um 20 Prozent gesunken, so Enright.

Die Zeiten des Sturm-Wurms sind vorbei

Aktuell beträgt die Größe des Sturm-Netzwerks laut Enright nur noch ein Zehntel des Maximums. So seien nun nur noch 20.000 Rechner jederzeit erreichbar, insgesamt soll das Netzwerk rund 160.000 PCs umfassen - Tendenz sinkend: "Die Größe des Netzwerks sinkt recht schnell und recht konstant", so Enright.

Der Sturm-Wurm erhielt seinen Namen, da er im Januar mit Meldungen über schwere Stürme über Europa zum ersten Mal auf Opfersuche ging. Anwender, die auf die angehängte Datei (Full Story.exe oder video.exe) klickten, installierten damit die Malware. Der betreffende Rechner wurde in das Botnetz integriert. In der Folge variierten die Urheber ihre Malware-Mails, beispielsweise, indem sie MP3s in den Anhang packten, oder sie als Grußkarten-Mails tarnten.
Das Botnet selbst wird laut Enright hauptsächlich dazu verwendet, so genannten "Pump and Dump"-Spam zu versenden. Dabei werden an sich wertlose Aktien (Penny Stocks) als Geheimtipp beworben. Die Urheber solcher Spam-Mails haben sich zuvor günstig mit den beworbenen Aktien eingedeckt und hoffen darauf, dass eine Reihe von Anwendern nach Erhalt der Spam-Mail ebenfalls in diese Anteilsscheine investiert. Den dann erfolgenden Kurssprung nutzen die Spammer, um mit Gewinn wieder auszusteigen.

Vollkommen desinteressiert zeigen sich die Sturm-Wurm-Autoren aber offensichtlich an Identitätsdiebstahl. Obwohl scheinbar sensible Daten auf Testrechnern von Enright vollkommen schutzlos und offen bereitstanden, ließ sie der Sturm-Wurm links liegen. "Glauben Sie es oder nicht, Kreditkartennummern sind nicht allzu viel wert", so Enright. "Es ist viel besser, Geld mittels Pump and Dump zu verdienen."

Quelle : www.pcwelt.de

[SiLæncer]

Die Sturm-Wurm-Bande besinnt sich zwischendurch offenbar immer wieder mal auf ihre bislang erfolgreichste Masche und versendet vorgebliche Grußkarten-Mails. Für die Motive bedienen sie sich auf regulären Grußkarten-Websites.

Die Erfolgsgeschichte des Sturm-Botnets neigt sich nach Einschätzung von Sicherheitsforschern wie Brandon Enright von der Universität Kalifornien dem Ende zu. Während die Masse der fremdgesteuerten Zombie-PCs Aktien-Spam verbreitet oder eine vorgebliche P2P-Software propagiert, werden immer wieder auch falsche Grußkarten-Mails eingesetzt. Damit hatte die Sturm-Wurm-Bande im Sommer ihre größten Erfolge erzielt.

Die Mails kommen zurzeit mit einem Betreff wie "Here's your ecard!", "Your ecard is waiting!" oder "Your ecard greeting is available." sowie dem Text "This Psycho Cat Card has been sent to you." in die Mailbox. Der enthaltene Link zeigt wie üblich auf eine IP-Adresse. Die recht kurzlebigen Mini-Web-Server auf den Zombie-PCs des Botnets liefern eine Seite mit einer Flash-Animation aus, die eine kichernde Katze zeigt. Diese Flash-Datei haben die Botnet-Betreiber von der echten Grußkarten-Website "SuperLaugh.com" kopiert.

Die Web-Seiten enthalten mehrfach verschleierten Javascript-Code, der Sicherheitslücken im Browser ausnutzen soll, um Malware einzuschleusen. Außerdem wird eine Datei namens "superlaugh.exe" zum Download angeboten, die den Rechner zu einem Teil des Sturm-Wurm-Botnets macht, falls sie ausgeführt wird.
Unter der Motorhaube habe die Malware-Programmierer einige Veränderungen eingeführt. Wie Rachit Mathur von McAfee im Blog der AVERT Labs berichtet, haben sie die Dateinamen geändert, mit denen sich die Botnet-Malware im System einnistet. Bislang hießen die Dateien "spooldr.exe", "spooldr.sys", und "spooldr.ini". Anfang dieses Jahres hatte es noch mit "wincom32.sys" und "game0.exe" begonnen.

Neuere Exemplare der Sturm-Malware verwenden nun die Dateinamen "noskrnl.exe", "noskrnl.sys" und "noskrnl.config". Dadurch besteht für diejenigen, die sich selbst auf die Jagd nach verdächtigen Dateien auf ihrem Rechner machen, die Gefahr einer Verwechslung mit der wichtigen Systemdatei "ntoskrnl.exe". Neu ist außerdem, dass der Schädling versucht, sich auf Disketten zu kopieren.

Quelle : www.pcwelt.de

[SiLæncer]

Mit einer neuen, der Jahreszeit angepassten Spam-Kampagne begeht die Sturm-Wurm-Bande das Halloween-Fest. Allerdings sind den Programmierern beim Feiern Fehler unterlaufen, sodass ein neues Design nötig wurde.

 Alle Jahre wieder endet der Oktober mit Halloween, seit einigen Jahren auch wieder in Europa. Auch die Malware-Szene feiert mit - namentlich die Sturm-Wurm-Bande. Deren neue Mail- und Web-Kampagne hat jedoch am Dienstagabend mit einem Fehlstart begonnen. Die ursprünglich für die auf ständig wechselnden Zombie-PCs des Sturm-Botnets beheimateten Websites vorgesehene Frame-Konstruktion funktionierte nicht richtig und brachte zudem lange Ladezeiten mit sich. Da musste schnell was Neues her.

Die gegen Mitternacht erneuerten Websites bestehen nun nicht mehr aus einem Frameset und einer anderswo geklauten Animation. Vielmehr zeigen sie ein auf mehrere Dateien aufgeteiltes Halloween-Motiv, das deutlich schneller geladen wird. Der untere Teil der Seite enthält einen Download-Link für die Sturm-Malware, die den passenden Dateinamen "halloween.exe" trägt.

Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie zum Beispiel "Happy Halloween", "Party on this Halloween", "To much fun", "Nothing is funnier this Halloween" oder "Dancing Bones". Die gewohnt kurz gehaltenen Mail-Texte bestehen aus Zeilen wie "Come watch the little skeleton dance". Sie enthalten den üblichen Link auf eine der vielen IP-Adressen der Botnet-Rechner. Dort erwartet Neugierige unter dem Titel "The Dancing Skeleton" die oben beschriebene Website.
Diese Website enthält außerdem mehrfach verschleierten Javascript-Code, der versucht, einen zum Rechner des Besuchers passenden Exploit anzuwenden. Wie die "halloween.exe" reiht der eingeschleuste Programm-Code den Computer des Besuchers in die Zombie-Armee des Sturm-Botnets ein.

Quelle : www.pcwelt.de

[SiLæncer]

Die Sturm-Wurm-Bande verschickt bei ihrer neuesten Malware-Kampagne Mails mit Links auf eine Reihe von Geocities-Seiten, die zur Weiterleitung auf die eigentliche Angriffsseite dienen.

Auf Yahoo kommen stürmische Zeiten zu, denn der zu Yahoo gehörende Anbieter kostenloser Homepages, Geocities, dient derzeit als Werkzeug für die neueste Sturm-Wurm-Flut. Die Malware-Spammer versenden Mails, die einen Link auf eine von vielen Geocities-Seiten enthalten. Die enthält verschleierten Javascript-Code, der eine Weiterleitung auf eine Angriffsseite der Sturm-Wurm-Bande bewirkt. Darüber berichten auch die Malware-Forscher von Trend Micro in ihrem Blog.

Auf dieser Web-Seite wird eine Situation nachgebildet, die vielen Internet-Nutzer vertraut sein dürfte: es wird ein weißes Feld angezeigt, das ein grünes Puzzle-Teil enthält. Dies ist normalerweise ein typischer Hinweis darauf, dass dem Browser ein Plug-in fehlt, um den Multimedia-Inhalt anzuzeigen. Die Sturm-Wurm benutzt dies, um den Besucher zu nötigen ein "iPIX Plug-in" herunter zu laden und zu installieren. Die angebotene Datei heißt "iPIX-install.exe".
Hierbei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Es gliedert den PC auf diese Weise in die Reihen des Sturm-Botnets ein. Der Rechner kann somit zu einer fremdgesteuerten Spam-Schleuder oder unfreiwilliger Teilnehmer eines DDoS-Angriffs auf Web-Server werden.

Quelle : www.pcwelt.de

[SiLæncer]

Mails, die vorgeblich von einem Privatdetektiv stammen, enthalten einen schädlichen Anhang, der angeblich ein aufgezeichnetes Telefonprotokoll sein soll. Hinter diesen Mails steckt offenbar die Sturm-Wurm-Bande.

Derzeit werden Spam-artig Mails verbreitet, deren Absender sich als Privatdetektiv ausgibt, der auf den Empfänger angesetzt sei. Er teilt dies dem vermeintlichen Spionageopfer mit und bietet freundlicherweise an auch seinen Auftraggeber zu nennen. Das will er jedoch erst in einer folgenden Mail tun. Um den misstrauischen Empfänger der Mail zu überzeugen, enthält die Mail ein mit einem Passwort verschlüsseltes RAR-Archiv, das ein aufgezeichnetes Telefonat enthalten soll.

Die Mails kommen mit unterschiedlichen, gefälschten Absenderangaben und einem Betreff wie "Danger", "I'm monitoring you", "We have tape of your conversation", "We monitor your privacy", "We're watching you", "Your phone is monitored", "attention", "important", "important for your live", "important information" oder "you're being watched". Am Ende des Textes steht das Passwort für das RAR-Archiv.

Der Dateiname des Anhangs lautet zum Beispiel "call1105-12.rar" und darin steckt eine Datei mit doppelter Endung, wie etwa "call1105.mp3 <viele Leerzeichen> .scr". Was also auf den ersten Blick wie eine MP3-Datei aussieht, ist tatsächlich eine EXE-Datei mit der für Bildschirmschoner gedachten Endung SCR. Unterstützt wird dieser Eindruck noch durch ein Dateisymbol des Windows Media Players.

Nach Ansicht von Symantecs Malware-Forscher Hon Lau, die er im Symantec-Blog Kund tut, muss das Trojanische Pferd, das in dieser Datei verbreitet wird, der Sturm-Wurm-Familie zurechnet werden. Eine zunehmende Anzahl von Antivirus-Herstellern scheint zu dem gleichen Ergebnis zu kommen, denn Bezeichnungen wie "Tibs", "Nuwar", "Peacomm" oder "Zhelatin" beziehen sich auf Sturm-Malware. Diese dient dem Aufbau oder besser dem weiteren Ausbau des Sturm-Botnets.

Quelle : www.pcwelt.de

[SiLæncer]

Nachdem es bereits zu Halloween eine jahreszeitlich passende Sturmwurm-Variante gab, haben die Schöpfer des Schädlings nun zu Heiligabend eine Weihnachtsversion auf E-Mail-Postfächer losgelassen. Unter Überschriften wie "I love this Carol!", "Santa Said, HO HO HO" oder "Christmas Email" kursieren vom Storm-Bot-Network versandte, in Englisch gehaltene Mails; Sie versprechen dem Leser mit wenigen unverfänglichen Worten Stressabbau auf einer verlinkten Webseite mit einer harmlos aussehende URL.

Dort grüßen dann Damen in knapper rot-weißer Weihnachts-Unterwäsche, ähnlich wie man es am heutigen Tag auch auf der Titelseite von Deutschlands bekannt-berüchtigter Boulevard-Massenzeitung sieht. Das allein wäre nichts Besonderes. Allerdings versucht die in den Mails verlinkte Webseite den Anwendern einen Schädling in Form der ausführbaren Datei "stripshow.exe" unterzujubeln. Den erkannten in einem Kurztest von heise security lediglich die Scan-Engines von Kaspersky, F-Secure, Microsoft OneCare und Norton. Die Situation kann sich aber jederzeit ändern, da über FastFlux-Server alle paar Minuten ein anderes Schädlings-Binary verteilt wird.

Daher gilt auch an Weihnachten: Empfänger von E-Mails mit Dateianhängen oder Links auf Webseiten sollten Vorsicht walten lassen und die Dateien nicht ausführen. Außerdem sollte man auch im etwaigen Geschenke- und Gästetrubel das Mail-Programm, den Webbrowser und die installierte Antivirenlösung auf dem jeweils aktuellen Stand halten, damit die Schädlinge nicht durch Schwachstellen in älteren Versionen unbemerkt ins System eindringen können. Weitere Tipps zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise security.

Quelle : www.heise.de

[SiLæncer]

Mit immer neuen Domains und ständig variierten Programmdateien hat die Storm-Gang auch über die Feiertage die Antivirus-Hersteller auf Trab gehalten. Die Sturm-Flut vorgeblicher Neujahrsgrüße hält weiter an.

Für Malware-Programmierer wie für Taxifahrer ist der Jahreswechsel keine Zeit der Besinnlichkeit sondern geschäftliche Hochsaison. Die Sturm-Wurm-Bande hat eine ganze Reihe von Domains registriert, auf die sie mit ihren Spam-Kampagnen verweist. Das Sturm-Botnet verbreitet auf der Suche nach neuen Opfern weiterhin massenhaft vorgebliche Neujahrgrüße.

Mit vielen unterschiedlichen Betreffzeilen von "A brand New Year" über "Happy 2008!" bis "Special New 2008 Year Wish" füllen Zweizeiler die Mailboxen weltweit. Die Links in den Mails verweisen stets auf eine von etwa einem Dutzend Domains, die für diesen Zweck registriert worden sind. Die Domain-Namen reichen von "familypostcards2008.com" bis "Santawishes2008.com". Jeder Aufruf einer solche Website führt zu einer anderen IP-Adresse und damit zu einem anderen Botnet-Rechner.

Wer einen solchen Link anklickt, findet auf der Web-Seite nur eine spärliche Textbotschaft: "Your download should begin shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download and then press Run. Enjoy!". Beim Anklicken des Download-Links wird eine etwa 140 KB große Datei "happy_2008.exe" herunter geladen.

Wird diese geöffnet, installiert sie ein bereits etwas betagtes Rootkit und reiht den befallenen PC in die Zombie-Armee des Sturm-Botnets ein. Die zum Download angebotene EXE-Datei ist bei jedem Download geringfügig verändert, was die Erkennung durch Antivirus-Programme erschweren soll. Dies gelingt jedoch offenbar nur bedingt - etliche Virenscanner erkennen alle Varianten.

Quelle : www.pcwelt.de

[SiLæncer]

Eine neu entdeckte Version des schon länger bekannten Nugache-Wurms bringt eine Reihe neuer Funktionen mit, die bislang vor allem bei einer auch als "Sturm-Wurm" bekannten Bot-Familie beobachtet wurden.

Die Schädlingsfamilie Nuwar/Peacomm/Zhelatin, besser bekannt als "Sturm-Wurm", feiert in diesem Monat ihren ersten Geburtstag. Anfang Januar 2007 war die erste große Welle des Malware-Spams gestartet worden. Sie nutzte vorgebliche Nachrichten über den Sturm "Kyrill" als Aufhänger, woraus der Spitzname "Sturm-Wurm" entstand. Die Sturm-Wurm-Bande hat seitdem ein sehr großes Botnet aufgebaut. Mögliche Konkurrenz entsteht ihr nun durch eine grundlegend überarbeitete Fassung des Wurms "Nugache", der inzwischen ähnliche Fähigkeiten mitbringt wie der Sturm-Wurm.

Nugache tauchte vor etwa zwei Jahren erstmals als IM-Wurm auf, der sich über Chat-Programme verbreitete. Inzwischen haben Malware-Programmierer, die dem notorischen Russian Business Network (RBN) zugerechnet werden, den Wurm gründlich aufgemöbelt. Nugache fügt infizierte Rechner in ein Botnet ein, das über P2P-Protokolle gelenkt wird. Statt eines zentralen Kontroll-Servers wird die Steuerung auf eine Anzahl wechselnder Botnet PCs verteilt, was die Überlebenschancen des Botnets erheblich verbessert.

Das Bot-Programm bringt nun auch eine Funktion zu seiner eigenen Verschlüsselung mit, mit der jede Kopie geringfügig variiert wird. Dadurch soll die Erkennung durch Virenscanner erschwert werden. In verschiedenen Blogs sind bereits manipulierte Einträge aufgetaucht, die Links zu präparierten Web-Seiten enthalten. Wer diese Links anklickt, läuft Gefahr, dass sein Computer zu einem ferngesteuerten Zombie-PC des Nugache-Botnets wird.

Diese Links werden nicht etwa von den Bloggern gesetzt - vielmehr werden die Blog-Einträge mit Hilfe eines automatischen Programms namens "Xrunner" eingestellt, die Schwachstellen der Blog-Software ausnutzt. Das Einfügen vieler Schlüsselbegriffe in den manipulierten Blog-Eintrag sowie die Verlinkung dieser Blogs untereinander soll vordere Plätze in den Trefferlisten von Suchmaschinen einbringen. Auch bei der Installation vorgeblicher Video-Codecs wird häufig Nugache-Malware eingeschleust.

Das Auftauchen des neuen Konkurrenten für die Sturm-Wurm-Bande hat nach Einschätzung von Paul Henry, Vizepräsident von Secure Computing, die Preise auf dem Markt für Spam-Versand in Bewegung gebracht. Inzwischen werden für eine Million versandter Spam-Mails nur noch 100 US-Dollar verlangt.

Quelle : www.pcwelt.de

[SiLæncer]

Über die Weihnachtsfeiertage konnten die Macher des "Sturm-Wurms" die Größe des zugehörigen Botnets mehr als verdoppeln. Dabei spielten mehrere, unglückliche Umstände der Bande in die Hände.

Der "Sturm-Wurm" treibt mittlerweile seit einem Jahr sein Unwesen im Netz, ein Ende ist nicht absehbar. Über Weihnachten gelang es den Machern der Malware nun offenbar, ein zugehöriges Botnet gehörig auszubauen. Die Angriffswelle begann laut den Sicherheitsexperten von Spamhaus einen Tag vor Weihnachten. In den Mails wurden Anwender dazu verleitet, diverse Sites zu besuchen, auf der eine weihnachtlich angehauchte Strip-Show angeboten wurde. Anwender, die dem Link folgten und das Video heruntergeladen haben, wurden dann mit einer neuen Variante des Sturm-Wurms infiziert.

Insgesamt hatten die Macher der Malware rund 14 Websites registriert, über die der Wurm verbreitet wurde, erklärte Richard Cox, CIO von Spamhaus. Diese wurden allesamt bei dem russischen Domain-Registrar Nic.ru angemeldet. Problematisch wurde es, als die Experten versuchten, den Registrar auf die Malware-haltigen Sites aufmerksam zu machen, beziehungsweise deren Löschung zu erwirken. Denn der Registrar hatte über die Feiertage geschlossen, erst vergangenen Mittwoch wurde der Betrieb aufgenommen.

Um zusätzlich Zeit zu gewinnen, haben die Malware-Hintermänner laut Cox mit Nic.ru einen Anbieter ausgewählt, der über keine ausreichenden Bestimmungen über das Abschalten bösartiger Websites verfügt. Schließlich wurde für den Sturm-Wurm-Angriff eine leicht geänderte Version der Malware verwendet, die für Antiviren-Software schwerer auffindbar war, was für mehr Infektionen gesorgt haben dürfte, sagte Cox. Die mit Malware gespickten Websites sind mittlerweile offline genommen worden.

Dennoch hat sich die Aktion für die Sturm-Wurm-Macher offenbar gelohnt. Experten gehen davon aus, dass dem zugehörigen Botnet rund 25.000 neue PCs hinzugefügt werden konnten, davor soll das Netzwerk 20.000 PCs umfasst haben. Sinn und Zweck eines solchen Netzwerks ist in erster Linie Geld verdienen. Und genau dies versucht die Sturm-Wurm-Bande nun offenbar. Laut den Sicherheitsexperten von Fortinet wurde bereits damit begonnen, das Botnet an Phisher zu vermieten.

Quelle : www.pcwelt.de