[HaBo]

rat · 28.04.10, 15:16

Der seit langem tot geglaubte Storm Worm ist zurück und füllt die Email Postfächer vieler User mit Viagra und anderen Spam.Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.Es wurde spekuliert das die Betreiber des Botnetzes die Architektur überarbeiten wollen da viele Vierenspezialisten dem Bot mit Analysen zu sehr auf die Pelle rückten.

Möglicherweisen wurden die Storm Betreiber aber auch von anderen Botnetzbetreibern wie (Srizbi, Mega-D, Rustock, Pushdo und Sinowal) vom Markt verdrängt.Eine Analyse vom HoneyPot Project zeigt das die neue Version Unterschiede zum Original aufweist.So soll die Verbindung zwischen Bot und Server komplett über HTTP laufen und Peer-to-Peer garnicht mehr verwendet wird.

Nach Meinung einiger Forscher könnte der Originalcode weiterverkauft worden sein, was bedeuten würde das die neue Version einen neuen Betreiber haben könnte.

Quelle: http://ratnetw0rk.blogspot.com/

Dresko · 29.04.10, 17:11

Kann ich leider bestätigen.
Seit kurzem häuft sich bei uns der Spam-Anteil mit Viagra-Mails. Darin befindliche Links verweisen auf automatisch generierte .ru-Domains. Interessanterweise haben bisher die Header dieser Mails immer denselben Charset-Fehler. Das From-Feld ist nicht vollständig UTF-8 codiert. Dadurch werden die Mails von Amavis standardmäßig mit einer Warnung markiert.

Code:

BAD HEADER SECTION, Non-encoded 8-bit data (char A9 hex): From:[...]

Anzeige

- Anzeige -

28.04.10, 15:16	#1 (permalink)
rat Registriert seit: 22.01.10 Likes: 20	Storm Worm is back Anzeige Der seit langem tot geglaubte Storm Worm ist zurück und füllt die Email Postfächer vieler User mit Viagra und anderen Spam.Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.Es wurde spekuliert das die Betreiber des Botnetzes die Architektur überarbeiten wollen da viele Vierenspezialisten dem Bot mit Analysen zu sehr auf die Pelle rückten. Möglicherweisen wurden die Storm Betreiber aber auch von anderen Botnetzbetreibern wie (Srizbi, Mega-D, Rustock, Pushdo und Sinowal) vom Markt verdrängt.Eine Analyse vom HoneyPot Project zeigt das die neue Version Unterschiede zum Original aufweist.So soll die Verbindung zwischen Bot und Server komplett über HTTP laufen und Peer-to-Peer garnicht mehr verwendet wird. Nach Meinung einiger Forscher könnte der Originalcode weiterverkauft worden sein, was bedeuten würde das die neue Version einen neuen Betreiber haben könnte. Quelle: http://ratnetw0rk.blogspot.com/ __________________ evil loves to party http://ratnetw0rk.blogspot.com Geändert von rat (28.04.10 um 15:22 Uhr)

29.04.10, 17:11	#2 (permalink)
Dresko Registriert seit: 30.01.10 Likes: 1	Kann ich leider bestätigen. Seit kurzem häuft sich bei uns der Spam-Anteil mit Viagra-Mails. Darin befindliche Links verweisen auf automatisch generierte .ru-Domains. Interessanterweise haben bisher die Header dieser Mails immer denselben Charset-Fehler. Das From-Feld ist nicht vollständig UTF-8 codiert. Dadurch werden die Mails von Amavis standardmäßig mit einer Warnung markiert. Code: BAD HEADER SECTION, Non-encoded 8-bit data (char A9 hex): From:[...] __________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Storm Worm is back