Laut Paul Henry, Vice President of Technology Evangelism bei Secure Computing, war der erstmals vor zwei Jahren gesichtete Wurm Nugache zunächst auf das Zusammenspiel mit Chat-Protokollen ausgelegt und hatte sich als solcher nicht stark verbreitet. Mittlerweile sollen Hacker, mutmaßliche Mitglieder der berüchtigten Online-Gang Russian Business Network, dem Schädling jedoch eine Art Face-Lifting verpasst und ihn im vergangenen Monat um diverse Erfolgsmerkmale des Sturm-Wurms - darunter Verschlüsselung und ein Rootkit – aufgerüstet haben. "Nugache kann sich nun selbst verschlüsseln, und jede Version ist ein wenig anders gestaltet, um seine Entdeckung zu erschweren", so Henry.
Auch Nugache wird nun via Peer-to-Peer kontrolliert. Eine dezentralisierte Command-and-Control-Struktur soll es erschweren, das Bot-Netz, das der Schädling aus infizierten PCs konstruieren kann, außer Gefecht zu setzen. Bot-Netze werden unter anderem zum Versenden von Spam über die gekaperten Rechner verwendet.
Das aufkommende Nugache-Botnet scheint dem Sturm-Botnet bereits Konkurrenz zu machen. "Es schafft eine Handelsbasis für Spam", so Henry. So würden online mittlerweile eine Million Spam-Nachrichten für nur 100 Dollar angeboten. Niedrige Preise wie diese führt der Sicherheitsexperte primär auf das Aufkommen des neuen Schädlings zurück.
Unternehmen und Verbraucher müssten sich bewusst sein, dass Nugache ihre Rechner über mehrere Wege kompromittieren kann – speziell durch Drive-by-Downloads über präparierte Web-Seiten. Laut Henry verbreitet sich der Wurm unter anderem über bösartige URLs in Blogs. Hierbei sorgt dem Experten zufolge ein Programm namens "Xrunner" aus dem Black-Hat-Umfeld für die automatisierte Einbettung von URLs zu Malware-Sites für Drive-by-Hacking. Häufig werde dieser Kniff in Kombination mit gefälschten Video-Codecs genutzt, um User zum Download des Nugache-Schädlings zu bewegen, so Henry.
Laut Henry manipulieren Hacker-Banden wie das Russian Business Network mittlerweile auch Googles Rating-System, um der Malware zu größerer Verbreitung zu verhelfen. Hierzu erstellten sie Blog-Einträge, in die sie Hunderte Schlüsselwörter sowie Verweise auf andere Postings einbetteten, um ihre Beiträge auf der Liste der Suchmaschinenergebnisse künstlich nach oben zu treiben.
Da der aufpolierte Nugache-Schädling signaturbasierende Malware-Erkennung umgeht, sollten sich Maßnahmen zur Abwehr des aufstrebenden Botnet-Wurms laut Secure Computing verstärkt auf dessen bösartige Scripting-Fähigkeiten konzentrieren. (kf)