Sturm-Trojaner wütet in Blogs und Foren weiter

28.02.2007
Eine neue Version des als "Sturm-Wurm" berüchtigten Trojaners soll das Web als Verbreitungskanal nutzen.

Sicherheitsexperten zufolge treibt derzeit eine neue Variante des als "Sturm-Wurm" bekannten Trojaners in Blogs und Online-Foren ihr Unwesen. Seinen Namen verdankt der Trojaner seinen Aktivitäten im Januar, als er via E-Mails mit reißerischen Betreffzeilen Informationen zu den Orkanschäden in Europa in Aussicht stellte und damit versuchte, Nutzer zum Anklicken der darin enthaltenen bösartigen Links zu bewegen. Seitdem kapert die Malware weiter PCs für ein Bot-Netz aus Zombie-Rechnern, die sich als Spam- und Virenschleudern missbrauchen lassen.

Nach Angaben von Dmitri Alperovitch, Sicherheitsforscher bei Secure Computing, erfolgt auch die "Erstinfektion" mit der neuen Sturm-Wurm-Variante via E-Mail mit bösartigem Link. Wer ihn anklickt, fängt sich eine Reihe von Malware-Komponenten ein. Auf dem Opfersystem analysiert der Trojaner, der sich als Rootkit selbständig in die Netzwerkumgebung des Betriebsystems installiert, den gesamten ausgehenden Web-Traffic. Wenn der Nutzer eines befallenen Systems dann einen Beitrag in einem Online-Forum oder Blog postet, oder über einen Web-basierenden Mail-Service wie Hotmail, Gmail oder Yahoo Mail eine Nachricht verschickt, fügt der Trojaner die Textzeile "Have you seen this" sowie einen Link auf ein angebliches Video hinzu. Letzterer führt allerdings lediglich zur Infektion.

Der Schadcode ziele nicht auf bestimmte Sites ab, sondern sei hinreichend generisch, um mit einer Vielzahl von Web-Seiten zu funktionieren, so Alperovitch. Nach Angaben von Secure Computing hat die neue Schädlingsvariante bereits in mehreren Online-Foren, aber auch in "Tausenden" von Blog-Einträgen ihren Spuren hinterlassen. "Das Neuartige an dieser Malware ist die Art ihrer Verbreitung", so der Sicherheitsspezialist. Im Prinzip fülle der Trojaner überall im Internet Web-Seiten mit Links auf die Malware. (kf)