Mittwoch, Oktober 31, 2007

Happy Sturm-Wurm Halloween


Die kriminellen Individuen hinter dem Sturm-Wurm nutzen als aktuelle Social-Engineering-Variante Halloween, um potenziellen Opfern einen Schädling unterzujubeln. Tanzende Skelette sollen Anwender dazu bringen, eine aktualisierte Variante des Sturm-Wurms zu installieren und ihren Rechner damit zu einem Teil des Botnetzes zu machen.

Webseite mit Halloween-Grüßen, die dem Besucher Schädlinge unterjubelt:

Diese Webseite soll Besucher dazu verleiten, einen Schädling auszuführen. Sie nutzt auch Lücken in älteren Browsern für die automatische Installation aus.

Die Links auf die Webseiten kommen in E-Mails mit Betreffzeilen wie "Happy Halloween” und “Dancing Bones" bei Internetnutzern an. Auf bereits infizierten PCs lagern die Schädlingsbastler Webseiten, die dem Besucher das Programm "halloween.exe" versprechen, das ein tanzendes Skelett zeigen soll – dabei handelt es sich jedoch um einen Trojaner. Zugleich versuchen die Seiten Sophos zufolge, den Schädling durch Lücken in älteren Browserversionen auf den Rechner einzuschleusen.

Die meisten Virenscanner erkennen die derzeit verbreitete Variante des Schädlings bereits, lediglich Avast und Panda erlauben sich einen Aussetzer:

Virenscanner - Erkennung
AntiVir: WORM/Zhelatin.Gen
Avast!: -
AVG: Downloader.Tibs
BitDefender: Trojan.Peed.ING
ClamAV: Trojan.Peed-39
CA eTrust: Win32/Sintun.AK
Dr Web: Trojan.Packed.193
F-Secure: Email-Worm.Win32.Zhelatin.lj
Ikarus: Email-Worm.Win32.Zhelatin.lj
Kaspersky: Email-Worm.Win32.Zhelatin.lj
McAfee: Tibs-Packed trojan
Microsoft: Trojan:Win32/Tibs.EU
Nod32: Win32/Nuwar.Gen worm
Panda: -
Sophos: Mal/Behav-146
Symantec: Trojan.Packed.13
Trend Micro: WORM_ZHELATI.AXD

Scanergebnisse von AV-Test.

Allerdings könnten jederzeit neue Varianten dieses und anderer Schädlinge auftauchen, bei denen die Erkennungsrate schlechter ausfällt. Allgemein sollten Empfänger von Halloween-Grüßen, die Dateianhänge oder Links auf Webseiten enthalten, Vorsicht walten lassen und die Dateien nicht ausführen. Außerdem sollten sowohl das Mail-Programm, der Webbrowser und die installierte Antivirenlösung auf den aktuellen Stand gebracht werden, damit die Schädlinge nicht durch Schwachstellen in älteren Versionen unbemerkt in das System eindringen können. Weitere Tipps zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise Security.

Siehe dazu auch:

* Happy HallowEcard, Warnung von Sophos
* Weather Report For Halloween: High chances of a Storm…, Warnung von Trend Micro

trackback (en)