Sturm-Wurm bloggt
Der als Sturm-Wurm bekannt gewordenen Trojaner verbreitet sich jetzt auch über Blogs.
"Dude, what if your wife finds this? - Man you have got to tell me where you picked her up. I saw this on the web, it has to be you. see for yourself... http://www.youtube.com/watch?v=xxxxxxxxx" – solche und ähnliche Blog-Einträge tauchen derzeit massenhaft vor allem auf Googles Blogspot [1] auf. Die Einträge stammen von neuen Varianten des Sturm-Wurm-Trojaners [2], der nun auch in der Blogosphäre nach Opfern sucht.
Bereits am vergangenen Wochenende vollzog sich der Wechsel von Grußkarten-Mails mit Schädling im Anhang hin zu der YouTube-Masche. Die englischsprachigen E-Mails enthalten einen vermeintlichen Link auf ein YouTube [3]-Video, der den Anwender jedoch zu einer numerischen IP-Adresse führt. Auf der Seite befindet sich ein YouTube-Logo und der Hinweis [4], dass der Download in wenigen Sekunden starten solle, gegebenenfalls solle man dem Link zum angeblichen Video auf der Seite von Hand folgen. Der Download enthält allerdings mitnichten ein YouTube-Video, sondern hinter der Datei video.exe verbirgt sich eine Sturm-Wurm-Variante. Eine weitere neue Variation gibt laut Sophos [5] vor, ein bislang unveröffentlichtes Musikvideo auf YouTube zu verlinken.
Jetzt sind auch Einträge in Blogs [6] aufgetaucht, die dieselben Texte und Links enthalten wie die YouTube-Schädlings-Mails. Auch hier steckt hinter dem vermeintlichen YouTube-Link eine numerische IP-Adresse. Eine Suche mit Google [7] nach den typischen Betreff-Zeilen der Mails mit vermeintlichen YouTube-Links liefert zahlreiche "verseuchte" Blog-Einträge. Die Links auf das vermeintliche Video führen zumeist ins Nichts, da sie offenbar dynamisch vergebene IP-Adressen von befallenen Rechnern referenzieren und diese Rechner inzwischen entweder offline sind oder bereits eine andere IP-Adresse zugewiesen bekommen haben. Falls man doch auf einen funktionierenden Link trifft, sollte man den Download unbedingt vermeiden, um nicht Gefahr zu laufen, seinen Rechner zu infizieren.
Wie der Sturm-Wurm Einträge in den Blogs vornehmen kann, ist allerdings noch unklar. Bislang sind etwa automatische Blog-Spam-Werkzeuge wie xRumer [8] bekannt, die zahlreiche Sicherheitsmechanismen wie Captchas und Anmeldungen aushebeln können, um Spam-Kommentare in Foren und Blogs einzustellen – xRumer ist für 450 US-Dollar [9] zu haben. Allerdings handelt es sich bei den Einträgen des Sturm-Wurms in den Blogs nicht um Kommentare, sondern um echte Blog-Einträge. Möglicherweise hat der Trojaner Zugangsdaten zu den Blogs auf infizierten Rechnern ausgespäht.
Um sich vor einer Infektion mit dem Sturm-Wurm zu schützen, sollten Anwender beim Öffnen von E-Mails Vorsicht walten lassen und etwaige Dateianhänge nicht ausführen. Sie sollten ebenfalls bei Links in E-Mails kritisch sein. Weiterhin sollten alle Sicherheitsupdates installiert sein und ein aktuelles Antivirenprogramm zum Einsatz kommen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Anti-Viren-Seiten [10] von heise Security.
Siehe dazu auch:
- Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen [11], Meldung auf heise Security vom 8. August 2007
- Another Storm caught on video? [12], Blog-Eintrag in Trend Micros Blog
- OMG, check out the new video! [13], Meldung im Sophos-Blog
- Storm worm hits Blogger [14], Blog-Eintrag im Sunbelt-Blog
- Google-Suche [15] nach Blog-Einträgen vom Sturm-Wurm
- "Werbevideo" zu xRumer [16], einem automatischen Blog-Spam-Werkzeug
(dmk [17])
URL dieses Artikels:
https://www.heise.de/-168940
Links in diesem Artikel:
[1] http://www.blogger.com/
[2] https://www.heise.de/news/Sturm-Wurm-schwappt-durchs-Netz-136515.html
[3] http://www.youtube.com/
[4] http://blog.trendmicro.com/another-storm-caught-on-video3f/
[5] http://www.sophos.com/security/blog/2007/08/545.html
[6] http://sunbeltblog.blogspot.com/2007/08/storm-worm-hits-blogger.html
[7] http://www.google.com/search?num=100&hl=en&lr=&safe=off&as_qdr=all&q=+%22dude+what+if+your+wife+finds+this%22+OR+%22sheesh+man+what+are+you+thinkin%22++OR+%22man+your+insane%22&btnG=Search
[8] http://www.botmaster.net/movies/XFull.htm
[9] http://www.botmaster.net/
[10] http://www.heise.de/security/dienste/antivirus/
[11] https://www.heise.de/news/Sturm-Wurm-Botnetz-mit-ueber-1-7-Millionen-Drohnen-160663.html
[12] http://blog.trendmicro.com/another-storm-caught-on-video3f/
[13] http://www.sophos.com/security/blog/2007/08/545.html
[14] http://sunbeltblog.blogspot.com/2007/08/storm-worm-hits-blogger.html
[15] http://www.google.com/search?num=100&hl=en&lr=&safe=off&as_qdr=all&q=+%22dude+what+if+your+wife+finds+this%22+OR+%22sheesh+man+what+are+you+thinkin%22++OR+%22man+your+insane%22&btnG=Search
[16] http://www.botmaster.net/movies/XFull.htm
[17] mailto:dmk@heise.de
Copyright © 2007 Heise Medien