Trend Micro (TSE: 4704) meldet ein unerfreuliches Jubiläum. Seit einem Jahr verbreiten sich die Varianten der "Storm"-Malware und schließen Anwendersysteme unbemerkt zu einem riesigen Botnet zusammen. Jetzt scheinen sich die Kriminellen hinter Storm auf eine neue Angriffswelle vorzubereiten. Die Kraft des Sturms scheint ungebrochen, deshalb informiert Trend Micro über aktuelle Entwicklungen und Hintergründe der Bedrohung.
Als im Trend Micro Blog am 22. Januar 2007 (http://blog.trendmicro.com/...) erstmals vor einem neuen Wurm gewarnt wurde, war noch nicht abzusehen, dass diese Malware auch noch ein ganzes Jahr später zu den virulentesten Bedrohungen gehört. Mittels Social Engineering und vermeintlichen Neuigkeiten zu aktuellen Ereignissen verbreitete sich der Wurm in hoher Geschwindigkeit per E-Mail. Eine der verwendeten Headlines zu dem damals in Europa tobenden Sturm "Kyrill" gab der Malware ihren Namen: "Storm".
Neben der Verwendung aktueller Nachrichten für das Social Engineering zeichnet sich Storm vor allem durch eine flexible Multi-Komponenten-Technik aus, die durch Neukombination immer neue Verbreitungswege ermöglicht. Die verschiedenen Bestandteile sind in der Lage, sich gegenseitig sukzessive aus dem Internet herunterzuladen, was die Erkennung durch Antiviren-Software erschwert. Storm infiziert Systeme als Anhang einer Spam-Mail, im Gefolge anderer Malware oder auch beim Besuch einer manipulierten Webseite.
Motivation: Profitinteresse
Dieser technische Aufwand hat einen finanziellen Hintergrund: Mit Storm konnte die Malware-Szene ein gewaltiges Netz aus infizierten Computern aufbauen - von den Anwendern meist unbemerkt. Hacker nutzen oder "vermieten" dieses Botnet für unterschiedliche lukrative Aufgaben, darunter Spam-Versand, Datendiebstahl, DDoS-Angriffe, E-Mail-Adresssammlungen oder Weiterverbreitung des Bot-Codes.
Nach einer Ruhephase begann ab April 2007 eine weitere massive Verbreitungswelle neuer Varianten des Malicious Codes. Erneut nutze Storm aktuelle Schlagzeilen, um Anwender neugierig zu machen und zu täuschen. Darüber hinaus wurde das Social Egineering durch zusätzliche raffinierte Methoden ergänzt, wie zum Beispiel angeblich kostenfreie Spiele, YouTube-Videos oder Benachrichtigungen von Antiviren-Herstellern.
Storm kommt in Bewegung
Seit Ende letzten Jahres beobachtet Trend Micro verdächtige Vorgänge im Storm-Botnet, die wahrscheinlich Bestandteil einer neuen Angriffswelle oder eines neuen "Geschäftsmodells" sind. So weist der Trend Micro Malware Blog vom 8. Januar 2008 (http://blog.trendmicro.com/...) darauf hin, dass Teile des Botnets offensichtlich an Phishing-Betrüger vermietet werden. Neue Storm-Varianten verschlüsseln ihren Datenverkehr, sodass nur noch infizierte Systeme mit demselben Schlüssel untereinander kommunizieren können. Diese Aufteilung ist wahrscheinlich der erste Schritt, um das Storm-Botnet innerhalb der Malware-Szene noch besser an Spammer oder DDoS-Angreifer vermarkten zu können. Gleichzeitig sind auch automatisierte Spam-Kits möglich, die wiederum zu einer Flut von Storm-Infektionen führen werden.
"Storm ist ein Vertreter der neuen Generation professioneller Malware, die Internet- und E-Mail-basierte Verbreitungswege flexibel kombinieren, um sich so über lange Zeiträume auf den Systemen einzunisten. Das Profitinteresse hinter Storm ist eindeutig, denn für das riesige Botnet finden sich in der Malware-Szene unzählige Kunden", erläutert Raimund Genes, CTO Anti-Malware bei Trend Micro. "Aufgrund der technischen Raffinesse reichen rein Scan-basierte Abwehrlösungen hier nicht mehr aus. Anwender benötigen heute weitergehende Lösungen, wie Trend Micro Total Web Threat Protection, die Systeme beim Surfen im Internet in Echtzeit vor potenziell gefährlichen Web-Angeboten schützt."
Als im Trend Micro Blog am 22. Januar 2007 (http://blog.trendmicro.com/...) erstmals vor einem neuen Wurm gewarnt wurde, war noch nicht abzusehen, dass diese Malware auch noch ein ganzes Jahr später zu den virulentesten Bedrohungen gehört. Mittels Social Engineering und vermeintlichen Neuigkeiten zu aktuellen Ereignissen verbreitete sich der Wurm in hoher Geschwindigkeit per E-Mail. Eine der verwendeten Headlines zu dem damals in Europa tobenden Sturm "Kyrill" gab der Malware ihren Namen: "Storm".
Neben der Verwendung aktueller Nachrichten für das Social Engineering zeichnet sich Storm vor allem durch eine flexible Multi-Komponenten-Technik aus, die durch Neukombination immer neue Verbreitungswege ermöglicht. Die verschiedenen Bestandteile sind in der Lage, sich gegenseitig sukzessive aus dem Internet herunterzuladen, was die Erkennung durch Antiviren-Software erschwert. Storm infiziert Systeme als Anhang einer Spam-Mail, im Gefolge anderer Malware oder auch beim Besuch einer manipulierten Webseite.
Motivation: Profitinteresse
Dieser technische Aufwand hat einen finanziellen Hintergrund: Mit Storm konnte die Malware-Szene ein gewaltiges Netz aus infizierten Computern aufbauen - von den Anwendern meist unbemerkt. Hacker nutzen oder "vermieten" dieses Botnet für unterschiedliche lukrative Aufgaben, darunter Spam-Versand, Datendiebstahl, DDoS-Angriffe, E-Mail-Adresssammlungen oder Weiterverbreitung des Bot-Codes.
Nach einer Ruhephase begann ab April 2007 eine weitere massive Verbreitungswelle neuer Varianten des Malicious Codes. Erneut nutze Storm aktuelle Schlagzeilen, um Anwender neugierig zu machen und zu täuschen. Darüber hinaus wurde das Social Egineering durch zusätzliche raffinierte Methoden ergänzt, wie zum Beispiel angeblich kostenfreie Spiele, YouTube-Videos oder Benachrichtigungen von Antiviren-Herstellern.
Storm kommt in Bewegung
Seit Ende letzten Jahres beobachtet Trend Micro verdächtige Vorgänge im Storm-Botnet, die wahrscheinlich Bestandteil einer neuen Angriffswelle oder eines neuen "Geschäftsmodells" sind. So weist der Trend Micro Malware Blog vom 8. Januar 2008 (http://blog.trendmicro.com/...) darauf hin, dass Teile des Botnets offensichtlich an Phishing-Betrüger vermietet werden. Neue Storm-Varianten verschlüsseln ihren Datenverkehr, sodass nur noch infizierte Systeme mit demselben Schlüssel untereinander kommunizieren können. Diese Aufteilung ist wahrscheinlich der erste Schritt, um das Storm-Botnet innerhalb der Malware-Szene noch besser an Spammer oder DDoS-Angreifer vermarkten zu können. Gleichzeitig sind auch automatisierte Spam-Kits möglich, die wiederum zu einer Flut von Storm-Infektionen führen werden.
"Storm ist ein Vertreter der neuen Generation professioneller Malware, die Internet- und E-Mail-basierte Verbreitungswege flexibel kombinieren, um sich so über lange Zeiträume auf den Systemen einzunisten. Das Profitinteresse hinter Storm ist eindeutig, denn für das riesige Botnet finden sich in der Malware-Szene unzählige Kunden", erläutert Raimund Genes, CTO Anti-Malware bei Trend Micro. "Aufgrund der technischen Raffinesse reichen rein Scan-basierte Abwehrlösungen hier nicht mehr aus. Anwender benötigen heute weitergehende Lösungen, wie Trend Micro Total Web Threat Protection, die Systeme beim Surfen im Internet in Echtzeit vor potenziell gefährlichen Web-Angeboten schützt."
