Sturm-Wurm-Parallelen

Malware-Spam: Ein neues Botnetz wächst heran

Seit ein paar Tagen verbreiten Spam-artig verschickte, vorgebliche Grußkarten-Mails einen neuen Schädling. Dieser wird bereits als Enkel des berüchtigten Sturm-Wurms gehandelt. Deutschland gehört zum Hauptverbreitungsgebiet.

Um den Jahreswechsel herum hat eine neue Welle von Malware-Spam begonnen. Zu dieser Jahreszeit sind Grußkarten-Mails nicht ungewöhnlich und so haben die Malware-Spammer diese Tarnung für ihre Mails gewählt. Sie verbreiten damit einen neuen Schädling, der von einigen Sicherheitsforschern bereits als Nachfolger des Sturm-Wurms gehandelt wird.

Die Mails verkünden meist schon im Betreff, dass der Empfänger eine Grußkarte bekommt. Einem kurzen Text folgt ein Link zu einer Web-Adresse auf einem gehackten Server. Bei Aufruf der Seite wird das potenzielle Opfer weitergeleitet. Eine Meldung auf der Folgeseite behauptet, man müsse den Flash Player installieren, den es per Download-Link auf der Seite gibt. In der Datei "install_flash_player.exe" steckt der Schädling.

Steven Adair von der Shadowserver Foundation hat die Einstufung als "Storm Worm 3.0/Waledac 2.0" aufgebracht. Er führt eine ganze Reihe von Parallelen zwischen dem Sturm-Wurm sowie seinem anerkannten Nachfolger Waledac einerseits und der zu diesem Zeitpunkt noch namenlosen Neuentdeckung andererseits auf. So bauen sie ein Botnetz auf, das sich so genannter Fast-Flux-Domains bedient. Dabei wechseln etliche Domains durch DNS-Einträge mit extrem kurzer Lebensdauer ständig die zugehörige IP-Adresse und damit den Server, auf dem sie gerade zu finden sind.

Der Antivirushersteller Kaspersky Lab und ein paar andere nennen den neuen Bot "Hlux", auch der Name "Kazy" (Bitdefender, G Data) ist vertreten. McAfee bleibt bei "Nuwar", seinem Namen für den Sturm-Wurm, ähnlich verfährt Microsoft, das den "Waledac" verwendet. Eine einheitliche Bezeichnung ist einmal mehr nicht in Sicht.

Kaspersky Lab hat die Verbreitung des Schädlings untersucht und festgestellt, dass er zurzeit vor allem in den USA, Deutschland und Großbritannien Fuß gefasst hat. Auch in Kanada, Italien, Russland und Indien sind Vertreter dieser neuen Schädlingsfamilie in größerer Zahl aufgetaucht. Die EXE-Dateien werden in kurzen Intervallen so verändert, dass Virenscanner sie nicht mehr erkennen. Es ist also wichtig, dass Sie Ihr Antivirusprogramm möglichst häufig, am besten automatisch, aktualisieren. (PC Welt/mje)