Sturm-Wurm bloggt

Der als Sturm-Wurm bekannt gewordenen Trojaner verbreitet sich jetzt auch über Blogs.

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen
Lesezeit: 3 Min.
Von

"Dude, what if your wife finds this? - Man you have got to tell me where you picked her up. I saw this on the web, it has to be you. see for yourself... http://www.youtube.com/watch?v=xxxxxxxxx" – solche und ähnliche Blog-Einträge tauchen derzeit massenhaft vor allem auf Googles Blogspot auf. Die Einträge stammen von neuen Varianten des Sturm-Wurm-Trojaners, der nun auch in der Blogosphäre nach Opfern sucht.

Bereits am vergangenen Wochenende vollzog sich der Wechsel von Grußkarten-Mails mit Schädling im Anhang hin zu der YouTube-Masche. Die englischsprachigen E-Mails enthalten einen vermeintlichen Link auf ein YouTube-Video, der den Anwender jedoch zu einer numerischen IP-Adresse führt. Auf der Seite befindet sich ein YouTube-Logo und der Hinweis, dass der Download in wenigen Sekunden starten solle, gegebenenfalls solle man dem Link zum angeblichen Video auf der Seite von Hand folgen. Der Download enthält allerdings mitnichten ein YouTube-Video, sondern hinter der Datei video.exe verbirgt sich eine Sturm-Wurm-Variante. Eine weitere neue Variation gibt laut Sophos vor, ein bislang unveröffentlichtes Musikvideo auf YouTube zu verlinken.

Jetzt sind auch Einträge in Blogs aufgetaucht, die dieselben Texte und Links enthalten wie die YouTube-Schädlings-Mails. Auch hier steckt hinter dem vermeintlichen YouTube-Link eine numerische IP-Adresse. Eine Suche mit Google nach den typischen Betreff-Zeilen der Mails mit vermeintlichen YouTube-Links liefert zahlreiche "verseuchte" Blog-Einträge. Die Links auf das vermeintliche Video führen zumeist ins Nichts, da sie offenbar dynamisch vergebene IP-Adressen von befallenen Rechnern referenzieren und diese Rechner inzwischen entweder offline sind oder bereits eine andere IP-Adresse zugewiesen bekommen haben. Falls man doch auf einen funktionierenden Link trifft, sollte man den Download unbedingt vermeiden, um nicht Gefahr zu laufen, seinen Rechner zu infizieren.

Wie der Sturm-Wurm Einträge in den Blogs vornehmen kann, ist allerdings noch unklar. Bislang sind etwa automatische Blog-Spam-Werkzeuge wie xRumer bekannt, die zahlreiche Sicherheitsmechanismen wie Captchas und Anmeldungen aushebeln können, um Spam-Kommentare in Foren und Blogs einzustellen – xRumer ist für 450 US-Dollar zu haben. Allerdings handelt es sich bei den Einträgen des Sturm-Wurms in den Blogs nicht um Kommentare, sondern um echte Blog-Einträge. Möglicherweise hat der Trojaner Zugangsdaten zu den Blogs auf infizierten Rechnern ausgespäht.

Um sich vor einer Infektion mit dem Sturm-Wurm zu schützen, sollten Anwender beim Öffnen von E-Mails Vorsicht walten lassen und etwaige Dateianhänge nicht ausführen. Sie sollten ebenfalls bei Links in E-Mails kritisch sein. Weiterhin sollten alle Sicherheitsupdates installiert sein und ein aktuelles Antivirenprogramm zum Einsatz kommen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Anti-Viren-Seiten von heise Security.

Siehe dazu auch:

(dmk)