På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

Small.DAM. "Storm orm"

Torsdag morgen d. 18 januar 2007, skete der et bemærkelsesværdigt globalt netværksangreb.

Netværksormen Small. DAM misbrugte nyhederne om den omfattende europæiske storm, for at narre sine modtagere. En besked som blev spammet ud, var programmeret og sendt ud imens stormen rasede. Man udnyttede den omfattende mediedækning af stormen, som nøglefunktion for at levere ormen/trojanen.

Trojanen blev distribueret I beskeder med emne linien "230 dead as storm batters Europe". Vedhæftet den falske nyhedsinformation er der diverse exe filer,- som med sine overskrifter inviterer til at man skal klikke på dem. F.eks Read More. exe. Når man klikker på read more.exe eller lignende vedhæftede filer bliver trojanen downloadet til alle de maskiner som enten ikke har IT sikkerhed eller hvor sikkerheden er ringe eller mangler opdateringer. Når ormen kommer ind, skaber den en bagdør, som giver adgang for de, som har udsendt ormen/trojanen.

Som tidligere angreb, skønnes dette også at være et forsøg på at skabe nye Botnets, som kan bruges til større forsøg på spam og Phishing.

I tillæg til overskriften "230 dead as storm batters Europe" bruges vedhæftede filer med overskrifter såsom: "Full Clip.exe"; "Full Story.exe"; "Read More.exe" og "Video.exe".

F-Secure sikkerheds laboratorie i Kuala Lumpur var de første til at afdække angrebet tidligt Fredag morgen europæisk tid. Timingen og det at angrebet blev fundet i Asien kan tyde på, at angrebet kommer fra den verdensdel.

De nyeste varianter af Small.DAM er begyndt at bruge rootkit i kernen for at skjule deres filer, registreringsnøgler og aktive netværksforbindelser.

F-Secure’s BlackLight scanner er i stand til at detektere disse skjulte filer. Disse varianter bliver nu fundet som W32/Stormy.AB og Trojan-Downloader.Win32.Agent.bet.
Alle emne linier der er blevet reporteret til F-Secure kan ses her: http://www.f-secure.com/weblog.

Man må konkludere at Malware bander ikke skyer nogen midler og vil udnytte selv katastrofer og tragedier, for at få adgang og kontrol over sårbare maskiner.

/C-cure

 

Powered by wpsnet.com