WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   Schädliche Grußkarten-Mails zum Jahreswechsel (http://www.wcm.at/forum/showthread.php?t=241103)

Christoph 03.01.2011 20:55
Schädliche Grußkarten-Mails zum Jahreswechsel
 
Zitat:
Ein neuer Schädling nutzt den Jahreswechsel, um sich mit vorgeblichen Grußkarten-Mails einzuschleichen. Wegen großer Ähnlichkeiten in der gesamten Vorgehensweise sehen Malware-Forscher darin einen Enkel des Sturm-Wurms.

Die Masche ist weder neu noch sonderlich originell, scheint jedoch noch immer zu funktionieren. Immer wieder zu Feiertagen wird Malware mittels vorgeblicher Grußkarten-Mails verbreitet. Einer der Vorreiter dieser Taktik war der berüchtigte Sturm-Wurm. Auch sein Nachfolger Waledac nutzte diese Taktik. Jetzt ist ein neuer Schädling aufgetaucht, der neben der Verbreitungsmethode weitere Ähnlichkeiten mit Sturm-Wurm und Waledac zeigt.

Die Shadowserver-Stiftung warnt zum Jahreswechsel vor einer Botnetz-Kampagne, die sie als "Storm Worm 3.0/Waledac 2.0" einstuft. Steven Adair listet eine Reihe von typischen Eigenschaften auf, die er beobachtet hat und die ihn an den Sturm-Wurm erinnern. Dazu zählt etwa die Verwendung ein Vielzahl so genannter Fast-Flux-Domains, die durch schnell fluktuierende DNS-Einträge ständig ihren Standort wechseln.

Auch die Spam-Kampagne zur Verbreitung immer neuer Malware-Varianten erinnert an den Sturm-Wurm. Die Mails kommen mit einem Betreff wie zum Beispiel "Greetings to You", "Have a happy and colorful New Year!" oder "You have received a greetings card" und enthalten Links auf gehackte Web-Server.

Von dort wird das potenzielle Opfer auf eine andere Web-Seite umgeleitet, die zur Installation eines vorgeblich erforderlichen Flash-Player-Update auffordert. Bei der über 400 KB großen Datei "install_flash_player.exe" handelt es sich um den neuen Schädling, der noch keinen Namen hat.

Doch wer nicht schnell genug auf den Download-Link klickt, wird erneut umgeleitet. Er landet dann auf einer Seite, die Exploits für verschiedene Sicherheitslücken ausprobiert, um den Schädling einzuschleusen. Dieser nimmt umgehend Kontakt zu diversen IP-Adressen auf. Das im Aufbau befindliche Botnetz erweist sich bislang als recht instabil. Welchen Umfang es hat, ist derzeit unklar.
Quelle: http://www.magnus.de/news/schaedlich...l-1049151.html


Alle Zeitangaben in WEZ +2. Es ist jetzt 12:10 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag