Die jüngste Variante des "Storm"-Trojaners, unter anderem auch "Nuwar" oder "Peacomm" genannt, verbreitet sich derzeit via E-Mails mit einem vermeintlichen Link auf ein YouTube-Video. "Der Link sieht aus wie ein Link zu YouTube, verweist in Wirklichkeit aber auf eine 'numerische' URL wie alte Storm-Varianten", schreibt Johannes Ullrich, Chief Research Officer bei SANS Institute, im Blog des Internet Storm Center (ISC).

Beim Klick auf den Link erscheint die Nachricht, das Video lade sich im Hintergrund. Tatsächlich, so McAfee-Forscher Vinoo Thomas, wird dabei eine eingebettete nebulöse JavaScript-Routine ausgeführt, die eine Mischung aus Browser- und Applikations-Exploits ausprobiert. "Ist einer davon erfolgreich, wird Storm auf das System geschleust", so Thomas.

Roger Thompson, Forscher bei Exploit Prevention Labs, identifizierte das Multi-Exploit-Paket am Wochenende als "Q406 Rollup", eine Sammlung, die seit Ende 2006 im Umlauf ist und ähnlich wie das Hacker-Tool-Kit MPack eine Vielzahl von Exploits umfasst. (kf)