Sturm-Wurm lockt mit Romantik

Die Sturm-Wurm-Bande hat ihre Aprilscherze durch Liebesbriefe ersetzt. Statt direkt auf IP-Adressen des Sturm-Botnets zeigen die Links in den Mails nunmehr auf präparierte Blogspot-Seiten.

Die Zeit der Aprilscherze ist offenbar auch für die Malware-Verbreiter der Sturm-Wurm-Bande vorbei. Die Kampagne der letzten Woche haben sie durch eine mit Liebesgrüßen abgelöst. Die gewohnt kurz gehaltenen Mails verweisen diesmal nicht unmittelbar auf IP-Adressen von Zombie-Rechnern des eigenen Botnets sondern nehmen einen Umweg über präparierte Blogs auf der Website blogspot.com.

Dort erwartet neugierige Besucher ein plüschiges Bild, das mit einem Link auf eine Datei namens „love.exe“ unterlegt ist. Ein Text-Link darunter verweist hingegen auf eine Datei „withlove.exe“. Diese Dateien werden über eine andere Domain aus dem Botnet geliefert. Die Dateien sind 139.776 Bytes groß, meist identisch und werden in kurzen Intervallen neu generiert.

Die in den EXE-Dateien enthaltene Sturm-Malware rekrutiert frische Zombies für das Botnet. Befallene PCs werden zu fremdgesteuerten Spam-Schleudern oder liefern Web-Seiten und Malware für Rekrutierungskampagnen wie diese aus.

Die Erkennung der Malware durch Antivirus-Software ist noch lückenhaft, hat sich jedoch im Laufe der Nacht merklich verbessert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.