Die so genannte Sturm-Wurm-Bande ist zurück. Wochenlang war es ruhig um die Hacker, nun schicken sie gefährliche Neujahrsgrüße durch das Netz. Auch die Weihnachtszeit hat die Bande für eine neue Spam-Welle genutzt. In beiden Fällen sind in den Mails Links zu Malware-Sites enthalten.  |
Schleichen sich Schädlinge auf dem eigenen Rechner ein, wird das Gerät zu einem Zombie-PC. Der infizierte Computer versendet im Hintergrund Spam, attackiert Websites oder fälscht Klickstatistiken. Ein einzelner betroffener PC ist zwar harmlos. Indem die Zombie-PCs aber E-Mails mit Malware wie Würmern und Trojanern weiterverbreiten, infizieren sie neue Rechner und schliessen sich zu so genannten Botnetzen zusammen.
Die letzte Spam-Kampagne der Sturm-Wurm-Bande hat bis Mitte November das Halloween-Thema genutzt, um vorgebliche Grußkarten-Mails unters Volk zu bringen. Am Heiligen Abend haben die Malware-Spammer dann eine Weihnachts-Kampagne gestartet. Die Mails wurden mit einem Betreff wie etwa "Jingle Bells, Jingle Bells", "Santa Said, HO HO HO", "Warm Up this Christmas", "Christmas Email", "Cold Winter Nights", "The Twelve Girls Of Christmas", "Mrs. Clause Is Out Tonight!" oder "Merry Christmas To All" verschickt. Die Links verwiesen auf die Domain "merrychristmasdude.com".
Mehr zum Thema Sicherheit:
- Online-Bankraub mit Trojaner
- Mit einem Bein im Knast: Gefährliche Websites (Teil 1)
- Mit einem Bein im Knast: Gefährliche Websites (Teil 2)
- So (un)sicher ist Ihre Identität im Internet
- Surfer reingelegt: Schäden in Millionenhöhe
Jeder Aufruf dieser Adresse landete auf einem anderen Zombie-PC des Botnets und lieferte eine leicht variierte Fassung der stets 132 KB großen Datei "stripshow.exe". Die Websites waren mit Exploit-Code gespickt, um über Sicherheitslücken im Browser weitere Malware einzuschleusen.
Am ersten Feiertag gab es dann eine neue Mail-Welle, bereits mit Grüßen zum Neuen Jahr. Der Betreff der Mails lautete zum Beispiel: "New Year wishes for you", "A fresh new year", "Happy 2008!", "Happy New Year!" oder auch "New Year Postcard". Die neue Domain-Adresse für die Malware-Links hieß "uhavepostcard.com", als Download gab es "happy2008.exe" (139 KB). Auf Exploit-Code und eine grafisch gestaltete Website wurde verzichtet.
Mehr zum Thema Sicherheit:
- Online-Sucht weit verbreitet
- 25 Jahre PC-Virus: Die dreisten Attacken der Hacker
- Sicheres Passwort: Einmal über die Tastatur gerollt
- Patch-Day: Die Sicherheits-Updates im Dezember
Am zweiten Feiertag hat sich nicht viel getan, lediglich der Dateiname wurde auf "happy-2008.exe" geändert. Erst am Abend haben die Malware-Spammer mit "happycards2008.com" auch eine neue Domain ins Spiel gebracht, die derzeit noch Stand der Dinge ist.
Die Antivirus-Hersteller haben sich über die Feiertage wenig Ruhe gegönnt, da Angriffswellen dieser Art zu erwarten waren. Bereits in der Nacht zum 25. Dezember haben fast alle Virenscanner die ständig variierten EXE-Dateien problemlos erkannt. Die zweite Welle hat sie jedoch auf dem falschen Fuß erwischt und es hat fast einen Tag gedauert, bis wenigstens die Hälfte der Antivirus-Hersteller im Bilde war.
