17.04.2009, 14:36 Uhr
Malware-Autoren und ihr Partnernetzwerk
Die Autoren der Waledac-Schad-Software scheinen ein blühendes Partnernetzwerk aufzubauen. Das Programm wird inzwischen nicht nur von den Conficker-Schreibern mitgenutzt - auch andere Virenautoren scheinen darauf zu setzen.
Malware der Waledac-Familie hat sich als Nachfolger des berüchtigten Sturm-Wurms (alias: Nuwar, Zhelatin) einen Namen gemacht. In der IT-Sicherheitsbranche geht man davon aus, dass hinter beiden die gleichen Täter stecken, die so genannte Sturm-Bande. Sie verbreitet ihre Schad-Software nicht nur selbst, sondern vermieten sie auch an andere. Sie betreiben ein Partnerprogramm, wie man es in ähnlicher Form vor allem aus dem Bereich der Adware kennt. Eingesetzt wird das Programm beispielsweise auch von den Conficker-Autoren.
Wie Scott Molenkamp im Blog des Microsoft Malware Protection Center erklärt, haben die Redmonder die Waledac-Familie beim letzten Patch Day in die Gruppe der vom "Windows-Tool zum Entfernen bösartiger Software" ins Visier genommenen Schädlinge eingereiht. Die neue Version 2.9 des Anti-Malware-Tools wird über das automatische Windows Update verteilt und kann auch separat herunter geladen werden.
Waledac ist ein multifunktionaler Spambot - also ein Schädling zum Versand von Spam-Mails. Die Malware kann beispielsweise beliebige Dateien aus dem WWW herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe (Denial of Service) starten sowie Datenverkehr und Passwörter ausspionieren. Die Verbreitung von Waledac erfolgt teilweise über eigene Spam-Kampagnen. Die aktuelle Waledac-Kampagne läuft schon einige Wochen und hat eine angebliche Agenturmeldung zu Terrorangriffen zum Thema. Die Waledac-Malware wird von einer Reihe von Internetseiten geladen und mehrmals täglich ein wenig verändert, um Antivirusprogramme zu täuschen - mit Erfolg.
Die Waledac-Autoren betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmasslich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren - beispielsweise bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail".
Molenkamp nimmt dies zum Anlass einmal mehr darauf hinzuweisen, dass Internet-Nutzer nicht auf Links klicken sollten, die ihnen von Unbekannten geschickt werden. Diese Web-Seiten sind oft mit Browser-Exploits gespickt, also mit Script-Code, der Sicherheitslücken im Browser und in dessen Erweiterungen ausnutzen, um Malware einzuschleusen.
