Panikmache

"Sturm-Wurm" bläst zum Dritten Weltkrieg

10.07.2008 von Armin Weiler
E-Mails, die einen Angriff der USA auf den Iran und den Beginn des Dritten Weltkriegs verkünden, finden seit rund einem Tag ihren Weg in immer mehr Postfächer. Mit derartigen Schreckensnachrichten hat das Botnetz des Sturm-Wurms "Storm" seine neueste Spam-Welle auf Nutzer losgelassen, so Savio Lau, Mitarbeiter der SophosLabs in Kanada. Die Meldungen nutzen die realen Spannungen im Mittleren Osten, um User auf falsche News-Seiten zu locken - wo Malware statt Nachrichten serviert wird. Die ködernden Betreffzeilen ähneln dabei einer Storm-Welle vom April 2007, als Storm Schadsoftware noch klassisch als E-Mail-Anhang verteilt hat.

E-Mails, die einen Angriff der USA auf den Iran und den Beginn des Dritten Weltkriegs verkünden, finden seit rund einem Tag ihren Weg in immer mehr Postfächer. Mit derartigen Schreckensnachrichten hat das Botnetz des Sturm-Wurms "Storm" seine neueste Spam-Welle auf Nutzer losgelassen, so Savio Lau, Mitarbeiter der SophosLabs in Kanada. Die Meldungen nutzen die realen Spannungen im Mittleren Osten, um User auf falsche News-Seiten zu locken - wo Malware statt Nachrichten serviert wird. Die ködernden Betreffzeilen ähneln dabei einer Storm-Welle vom April 2007, als Storm Schadsoftware noch klassisch als E-Mail-Anhang verteilt hat.

"The World War III has already begun" (Der Dritte Weltkrieg hat bereits begonnen) oder "USA unleashed war on Iran" (USA entfesseln Krieg gegen Iran) sind nur zwei Beispiele für martialische Meldungen, mit denen die Storm-E-Mails vor dem Hintergrund bekannter Spannungen nach Interesse haschen. Der Inhalt der Nachricht liefert wenige Zusatzinformationen sowie einen Link zu einer Webseite. Diese berichtet Usern vom Einmarsch US-amerikansicher Truppen im Iran, wobei das Bild einer Atombombenexplosion in einem Video Aufmerksamkeit erregen soll. Wer das vermeintliche Video abruft, handelt sich mit "iran_occupation.exe" allerdings einen Trojaner ein. Auch ein Banner, das speziell US-Patrioten anzusprechen versucht, serviert in Wahrheit Malware. In einem iFrame auf der Webseite wird ferner ein bösartiges, verstecktes Skript aufgerufen, so Lau. Ein vielseitiger Angriff also - wer die Kriegs-Meldungen erhält, sollte ihnen also keinesfalls nachgehen.

Die Social-Engineering-Technik des Iran-USA-Themas ist nicht neu?, meint Thomas Parsons, Sicherheitsexperte im Symantec Security Response Center. Sie sei schon im April 2007 bei Storm zum Einsatz gekommen. ?Damals wurden Titel wie ?USA Just Have Started World War III? (Die USA haben den Dritten Weltkrieg begonnen) verwendet?, erklärt Parsons. Dabei wurde in einigen Fällen von Tausenden durch US-Streitkräfte getöteten Iranern gesprochen, ebenso wie in einem Teil der aktuellen Mails. Im April 2007 wurde Schadsoftware in Form angeblicher Videos oder weiterer Informationen noch als Attachment zu den E-Mails verteilt. Damals war diese Methode der Malware-Verbreitung noch gang und gäbe, 15 Monate später ist sie kaum mehr von Bedeutung. Mit 1. Juli 2007 hatte sich Storm erstmals zur webbasierten Bedrohung entwickelt, so Trend Micro. Inzwischen ist die Malware-Verteilung per Web allgemein das Mittel der Wahl von Cyberkriminellen.

"Die wichtigste Erfahrung, die wir aus dem Storm-Netzwerk ziehen können, ist folgende: Die Betreiber solcher Netze werden jeden Social-Engineering-Aufhänger nutzen, der ihnen erfolgversprechend erscheint", warnt Parsons. Kurz vor der Weltkriegs-Welle war beispielsweise der US-amerikanische Unabhängigkeitstag am 4. Juli Thema verschickter Massen-Mails. (pte/rw)