Neue Varianten des NuWar-Wurmes versucht auf die “herzliche” Tour, Malware zu installieren.
16. Januar 2008
Pressemeldung von Eset — Ein neuerlicher Fall von Social Engineering Malware verbreitet sich seit knapp 24 Stunden mit äußerster Aggressivität im Internet. Geplante Attacken zu besonderen Tagen sind keine Seltenheit – auch wenn dieser Kandidat etwas zu früh dabei ist, sich als Email-Grußbotschaft zum Valentinstag zu verbreiten. Mit dem Massenversand von Emails werden deren Empfänger aufgefordert, sich Ihren speziellen Liebesgruß von einem Server herunterzuladen.
news_nuwar-valentin.jpgDie relativ knapp gehaltene Email kommt mit unterschiedlichen Betreffzeilen ins Haus – “I Dream of you”, “Kisses through E-mail” oder auch “Sending You My Love” sollen dem Empfänger zum Klicken auf einen Link verleiten. Dieser Link führt auf eine infizierte Website, die den Besucher automatisch zum Download und Ausführen einer Datei namens “withlove.exe” auffordert.
Wird die Datei heruntergeladen und ausgeführt, installiert die Malware einen Rootkit auf dem betroffenen System und legt im Ordner %SYSTEMROOT%\Windows\System32 zwei Dateien ab, ein Konfigurationsfile und die eigentliche Malware in Form einer System-Treiberdatei. Beide Dateien lauten auf den Namen “burito” und einer 6-8stelligen zufälligen alphanumerischen Folge.
Auch gut 24 Stunden nach dem ersten Auftreten dieser Malware sind bei vielen Antivirensoftwarelösungen noch keine Signaturen vorhanden, wie ein kurzer Test von AV-Test im Auftrag der PC-Welt zeigt. Anwender die ESET Produkten vertrauen, sind hingegen seit dem ersten Auftreten geschützt, da die transportierende Malware heuristisch und als Variante eines NuWar Wurmes erkannt wird.