Youtube-Videos sollen Empfänger ködern

Der Sturm-Wurm attackiert 1,8 Millionen Computer

25. September 2007
Von Nina Gut
Eine neue "Storm-Worm"-Welle schlug im August über ein weltweites Botnet von 1,8 Millionen Computern hoch. Die jüngsten Attacken des Sturm-Wurms nutzten virtuelle Postkarten und Links zu angeblichen Youtube-Videos, um Trojaner zu verbreiten. Außerdem musste ein starker Anstieg an täglich neu auftauchenden Webseiten mit Schad-Code verzeichnet werden. 55.000 neue bösartige Webseiten wurden im vergangenen Monat entdeckt. Das hat der Anbieter Messagelabs herausgefunden.
Ein Beispiel: So sieht eine der E-Mails vom Storm-Worm-Botnet aus.
Ein Beispiel: So sieht eine der E-Mails vom Storm-Worm-Botnet aus.

Messagelabs beobachtete in der letzten August-Woche eine starke Zunahme von E-Mails, die Links zu angeblichen virtuellen Postkarten und Youtube-Videos enthielten. Bei einem größeren Ausbruch am 15. August wurden innerhalb von 24 Stunden 600.000 derartige E-Mails versendet. Verantwortlich hierfür ist die "Storm-Worm"-Gang, deren Botnets Schätzungen zufolge mittlerweile auf weltweit 1,8 Millionen Computer angewachsen sind.

Ausgefeilte Techniken

Obwohl sich sowohl der Nachrichtentext als auch die Betreffzeilen kontinuierlich ändern, bestehen diese E-Mails stets aus einfachem Text oder HTML-Code, der einen Link zu einer IP-Adresse beinhaltet. Diese IP-Adresse verweist auf einen anderen infizierten Rechner innerhalb des Botnets, der die Anfrage zu einem Backend-Server umleitet und auf diese Weise versucht, den Rechner des Opfers mit einer Kopie des "Storm-Worm"-Trojaners zu infizieren. Der Backend-Server codiert die MalwareMalware alle dreißig Minuten automatisch neu, um den Anbietern traditioneller Anti-Viren-Lösungen die Bereitstellung von Signaturen zu erschweren. Alles zu Malware auf CIO.de

Ähnlich wie bei den Techniken anderer Botnets wie Warevoz werden die Standorte der zentralen Command-and-Control-Server, die zur Steuerung des Botnets verwendet werden, durch so genannte "Fast-Flux"-Netzwerke mit sich schnell ändernden DNS-Einträgen abgeschirmt. Diese Methode ähnelt den "kugelsicheren" Hosting-Schemas, die Spammer in der Vergangenheit häufig verwendet haben, um es den Ermittlern zu erschweren, ihre Hosting-Sites und Mail-Server zu lokalisieren und auszuschalten.

Immer mehr gefährliche E-Mails

Aufgrund dieser jüngsten "Storm-Worm"-Attacken ist die Anzahl der E-Mails, die Links zu Schad-Code enthielten, im August erheblich gestiegen. Nachdem diese Quote im Juli nur 0,5 Prozent betrug, wurde sie im August um 19 Prozentpunkte auf 19,5 Prozent katapultiert.

Zur Startseite