Falle: Storm-Wurm lockt mit Aprilscherz

Arbor Networks warnt vor einer neuen Variante des Storm-Wurms, die den 1. April als Lockmittel nutzt. Mittels einer Spam-Kampagne sollen Computer mit Schadsoftware infiziert werden, um sie zum Teil des weltweiten Storm-Botnetzes zu machen.

Jose Nazario, leitender Sicherheitsingenieur bei Arbor Networks, erklärte, der Wurm verbreite sich über E-Mails mit dem Nachrichtentext “Doh! April Fools”, gefolgt von einer numerischen URL. Der Link führe zu einer Webseite mit einer Cartoon-Figur und dem Hinweis auf einen startenden Download.

Der Download wird laut Arbor Networks als Aromis.exe im Windows-Verzeichnis installiert. Die Datei manipuliere die Firewall-Einstellungen, starte ausgehende Verbindungen und höre zufällige UDP-Ports ab.

Der Storm Worm ist ein gigantisches Peer-to-Peer-Netzwerk. Der Wurm verhält sich wie ein Parasit. Auf dem befallenen Rechner richtet er weder Schaden an, noch verschwendet er unnütz Ressourcen. Der Host-Rechner ist seine Lebensgrundlage, und die schädigt er nicht. Denn je weniger Aufsehen ein Schadprogramm erregt, desto unwahrscheinlicher ist es, dass Administratoren oder Nutzer es bemerken und entfernen.

Wenn ein Computer infiziert ist, nimmt Storm Kontakt zum nächsten Kommandoknoten auf und wartet dann ab. Gleichzeitig ist die Malware viel mehr als ein einfacher Wurm, der sich weiterverbreitet. Storm ist modular aufgebaut – einmal installiert, kann der Bot über das Internet neue Komponenten und Instruktionen nachladen.