Waledac und Conficker

Malware versucht sich an Partnerprogrammen

Die Autoren der Waledac-Malware scheinen ein florierendes Partnernetzwerk aufzubauen. Der Schädling wird inzwischen nicht nur von Conficker mitgenutzt, auch andere Virenschreiber scheinen auf ihn zu setzen.

Die Schädlinge der Waledac-Familie haben sich als Nachfolger des berüchtigten Sturm-Wurms (Alias: Nuwar, Zhelatin) einen Namen gemacht. In der IT-Sicherheitsbranche geht man davon aus, dass hinter beiden die gleichen Täter stecken, die so genannte Sturm-Bande. Sie verbreiten ihre Malware nicht nur selbst sondern vermieten sie auch an andere. Sie betreiben ein Partnerprogramm, wie man es in ähnlicher Form vor allem aus dem Bereich der Adware kennt. Eingesetzt wird das Programm beispielsweise auch von den Conficker-Autoren.

Namensgebung: Der Ursprung von Waledac. (Quelle: Microsoft)
Namensgebung: Der Ursprung von Waledac. (Quelle: Microsoft)

Wie Scott Molenkamp im Blog des Microsoft Malware Protection Center berichtet, hat Microsoft die Waledac-Familie beim gestrigen Patch Day in die Gruppe der vom "Windows-Tool zum Entfernen bösartiger Software" ins Visier genommenen Schädlinge eingereiht. Die neue Version 2.9 des Anti-Malware-Tools wird über das automatische Windows Update verteilt und kann auch separat herunter geladen werden.

Gefälscht: Der Virus lockt mit Videos und Codec-Downloads.
Gefälscht: Der Virus lockt mit Videos und Codec-Downloads.

Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt zum Teil über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Websites geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu umgehen - mit Erfolg.

Die Macher von Waledac betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmaßlich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren, etwa bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail".

Scott Molenkamp nimmt dies zum Anlass einmal mehr darauf hinzuweisen, dass Internet-Nutzer nicht auf Links klicken sollten, die ihnen von Unbekannten geschickt werden. Diese Web-Seiten sind oft mit Browser-Exploits gespickt, also mit Script-Code, der Sicherheitslücken im Browser und in dessen Erweiterungen ausnutzen, um Malware einzuschleusen. (PC-Welt/mja)