Wurm verkündet Atomkrieg

Mit derartigen Schreckensnachrichten hat das Botnetz des Wurms ‘Storm’ seine neueste Spam-Welle auf Nutzer losgelassen, so Savio Lau, Mitarbeiter des Sicherheitsspezialisten Sophos in Kanada. Die Meldungen nutzen die realen Spannungen im Mittleren Osten, um Nutzer auf falsche Newsseiten zu locken . Nutzer bekommen dann satt Nachrichten Malware auf ihre Rechner. Die ködernden Betreffzeilen ähneln dabei einer Storm-Welle vom April 2007, als Storm Schadsoftware noch klassisch als E-Mail-Anhang verteilt hat.

“The World War III has already begun” (Der Dritte Weltkrieg hat bereits begonnen) oder “USA unleashed war on Iran” (USA entfesseln Krieg gegen Iran) sind nur zwei Beispiele für martialische Meldungen, mit denen die Storm-E-Mails vor dem Hintergrund aktueller Konflikte nach Interesse haschen. Der Inhalt der Nachricht liefert wenige Zusatzinformationen sowie einen Link zu einer Webseite. Diese berichtet Nutzern vom Einmarsch US-amerikansicher Truppen im Iran, wobei das Bild einer Atombombenexplosion in einem Video Aufmerksamkeit erregen soll.

Wer das vermeintliche Video abruft, handelt sich mit ‘iran_occupation.exe’ allerdings einen Trojaner ein. Auch ein Banner, das gezielt US-Patrioten anzusprechen versucht, serviert in Wahrheit Malware. In einem iFrame auf der Webseite wird ferner ein bösartiges, verstecktes Skript aufgerufen, berichtet der Sophos-Spezialist Lau. Wer diese Kriegsmeldungen erhält, sollte ihnen also keinesfalls nachgehen.

“Die Social-Engineering-Technik des Iran-USA-Themas ist nicht neu”, meint Thomas Parsons, Sicherheitsexperte im Symantec Security Response Center. Sie sei schon im April 2007 bei Storm zum Einsatz gekommen. “Damals wurden Titel wie ‘USA Just Have Started World War III’ (Die USA haben den Dritten Weltkrieg begonnen) verwendet”, so Parsons weiter.

Dabei wurde in einigen Fällen von Tausenden durch US-Streitkräfte getöteten Iranern gesprochen, ebenso wie in einem Teil der aktuellen Mails. Im April 2007 wurde Schadsoftware in Form angeblicher Videos oder weiterer Informationen noch als Attachment zu den E-Mails verteilt. Damals war diese Methode der Malware-Verbreitung noch gang und gäbe, 15 Monate später ist sie kaum mehr von Bedeutung. Mit 1. Juli 2007 hatte sich Storm erstmals zur webbasierten Bedrohung entwickelt, so Trend Micro. Inzwischen ist die Malware-Verteilung per Web allgemein das Mittel der Wahl von Cyberkriminellen.

“Die wichtigste Erfahrung, die wir aus dem Storm-Netzwerk ziehen können, ist folgende: Die Betreiber solcher Netze werden jeden Social-Engineering-Aufhänger nutzen, der ihnen erfolgversprechend erscheint”, warnt Parsons. Kurz vor der Weltkriegs-Welle war beispielsweise der US-amerikanische Unabhängigkeitstag am 4. Juli Thema verschickter Massen-Mails.