[color="Red"]Storm breitet sich aus[/color]
Security-Hersteller warnen vor neuer Malware. Es ist "Storm", eigentlich ein Wurm, der aber erst nach einem Jahr richtig gefährlich wird, wie etwa Trend Micro berichtet. Die verschieden Varianten der "Storm"-Malware verbreiten sich schon länger im Internet und schließen Anwendersysteme unbemerkt zu einem riesigen Botnet zusammen. Jetzt scheinen sich die Kriminellen hinter Storm auf eine neue Angriffswelle vorzubereiten.
Fast auf den Tag genau vor einem Jahr informierte Trend Micro zum ersten Mal die Öffentlichkeit über diesen Wurm. Damals war aber noch nicht abzusehen, dass diese Malware auch noch ein ganzes Jahr später zu den virulentesten Bedrohungen gehören würden. Mittels Social Engineering und vermeintlichen Neuigkeiten zu aktuellen Ereignissen verbreitete sich der Wurm in hoher Geschwindigkeit per E-Mail. Eine der verwendeten Headlines zu dem damals in Europa tobenden Sturm "Kyrill" gab der Malware ihren Namen "Storm".
Diese Entwicklung bestätigen auch die Sicherheitsxperten von MessageLabs. Sie haben beobachtet, dass die Storm-Botnet-Betreiber nach einer ruhigen Periode sowie dem Versuch, ihr Botnet zu vergrößern und die neuesten Wettbewerber auszustechen, seit gestern Nachmittag die den jüngsten Spam-Grußkarten-Vorstoß aufgegeben. Sie sind nun dazu übergegangen, liebestolle Männer und Frauen mit großvolumigen Massen-Mails zu torpedieren und diese zu veranlassen, auf die enthaltenen Links zu klicken und dabei den Storm-Trojaner herunter zu laden. Dieser wurde von herkömmlichen Antivirus-Programmen bislang nicht identifiziert.
Verbreitung mittels "Social Engineering"
Die Betreffzeilen lauten "If Loving You" und "Happy I'll Be Your Bride", während der Fließtext eher kurz gehalten ist: "Come Relax with Me" oder "I Dream of You", gefolgt von einem Link zu einem Rechner innerhalb des aktuellen Storm-Botnets, das automatisch die Malware auf den Rechner des Opfers lädt. Neben der Verwendung aktueller Nachrichten für das Social Engineering zeichnet sich Storm vor allem durch eine flexible Multi-Komponenten-Technik aus, die durch Neukombination immer neue Verbreitungswege ermöglicht, dies haben Experten von Trend Micro festgestellt. Die verschiedenen Bestandteile der Malware sind in der Lage, sich gegenseitig sukzessive aus dem Internet herunter zu laden, was die Erkennung durch Antiviren-Software erschwert. Storm infiziert Systeme als Anhang einer Spam-Mail, im Gefolge anderer Malware oder auch beim Besuch einer manipulierten Webseite.
Derartige Online-Banking-Site wird über das "Storm" verbreitet.
Motivation: Profit
Dieser technische Aufwand hat einen finanziellen Hintergrund: Mit Storm konnte die Malware-Szene ein gewaltiges Netz aus infizierten Computern aufbauen - von den Anwendern meist unbemerkt. Hacker nutzen oder "vermieten" dieses Botnet für unterschiedliche lukrative Aufgaben, darunter Spam-Versand, Datendiebstahl, DDoS-Angriffe, E-Mail-Adresssammlungen oder Weiterverbreitung des Bot-Codes.
Nach einer Ruhephase begann ab April 2007 eine weitere massive Verbreitungswelle neuer Varianten des Malicious Codes. Erneut nutze Storm aktuelle Schlagzeilen, um Anwender neugierig zu machen und zu täuschen. Darüber hinaus wurde das Social Egineering durch zusätzliche raffinierte Methoden ergänzt, wie zum Beispiel angeblich kostenfreie Spiele, YouTube-Videos oder Benachrichtigungen von Antiviren-Herstellern.
Storm kommt in Bewegung
Seit Ende 2007 beobachtet Trend Micro verdächtige Vorgänge im Storm-Botnet, die wahrscheinlich Bestandteil einer neuen Angriffswelle oder eines neuen "Geschäftsmodells" sind. Offensichtlich sind Teile des Botnets an Phishing-Betrüger vermietet werden. Neue Storm-Varianten verschlüsseln ihren Datenverkehr, sodass nur noch infizierte Systeme mit demselben Schlüssel untereinander kommunizieren können. Diese Aufteilung ist wahrscheinlich der erste Schritt, um das Storm-Botnet innerhalb der Malware-Szene noch besser an Spammer oder DDoS-Angreifer vermarkten zu können. Gleichzeitig sind auch automatisierte Spam-Kits möglich, die wiederum zu einer Flut von Storm-Infektionen führen werden.
"Storm ist ein Vertreter der neuen Generation professioneller Malware, die Internet- und E-Mail-basierte Verbreitungswege flexibel kombinieren, um sich so über lange Zeiträume auf den Systemen einzunisten. Das Profitinteresse hinter Storm ist eindeutig, denn für das riesige Botnet finden sich in der Malware-Szene unzählige Kunden", erläutert Raimund Genes, CTO Anti-Malware bei Trend Micro. "Aufgrund der technischen Raffinesse reichen rein Scan-basierte Abwehrlösungen hier nicht mehr aus. Anwender benötigen heute weitergehende Lösungen, wie Trend Micro Total Web Threat Protection, die Systeme beim Surfen im Internet in Echtzeit vor potenziell gefährlichen Web-Angeboten schützt." (rw)
