Originalartikel von Edgardo Diaz, Jr. (Threats Analyst bei Trend Micro)
Im September hatte eine “Here You Have”-Spam-Welle die Mail-Inboxen der Nutzer überschwemmt. Auch wenn damals der Fokus der Kriminellen auf Spam lag, ist es wichtig, die Fähigkeiten der Hauptkomponente der Malware hinter der Spam-Kampagne, nämlich WORM_MEYLME.B, zu verstehen
Die Binärdatei des Wurms enthält Login-Informationen für bestimmte Gmail-Konten, die aber mittlerweile stillgelegt wurden. Dennoch helfen sie, die Zusammenhänge der Kampagne aufzudecken.
Auch konnten die Researcher die wahren Absichten des Wurms aufdecken. Er lädt von einem zentralen Ort verschiedene Programme herunter, die, obwohl sie nicht bösartig sind, dennoch für bösartige Angriffe genutzt werden können. Die so erhaltenen Dateien werden für drei Routinen verwendet:
- Der Wurm versucht, das gesamte Netzwerk eines betroffenen Nutzers zu infizieren, genauso wie es ILOMO tut. Über die heruntergeladene Datei psexec.exe verbreitet er sich im Netzwerk. Wie schon die TROJ_ILOMO-Varianten zeigten, ist dies eine effiziente Technik, und IT-Administratoren, die absichtlich psexec nutzen, sollten vorsichtig sein.
Die “Here you have”-Spam-Kampagne war ein gezielter Angriff, der sich ursprünglich auf HR-Abteilungen von Behörden wie die Afrikanischen Union oder die NATO richtete. Doch durch die klassischen doch effektiven Verteilungsroutinen geriet der Angriff außer Kontrolle und wurde zum weltweiten Problem. Die Massen-Mail-Routine, schickte „Here you have“-Spam an Mailadressen, die sich in den Kontaktlisten der Opfersysteme befanden. „Just for you“-Spam wiederum wurde an Adressen verschickt, die in den Yahoo! Messenger (YM) Nachrichtenarchiven der Opfer zu finden waren. Diese Verteilungsroutinen zusammen mit den Netzwerkverbreitungs- und weiteren Routinen von VBS_MEYLME.B führten dazu, dass sich die Attacke viel breiter gestaltete als ursprünglich geplant.
Das folgende Diagramm zeigt die Dimensionen des Spam-Ausbruchs, die WORM_MEYLME.B verursachte.
Dank der Korrelationsfähigkeiten des Smart Protection Networks konnte Trend Micro mit dem Schädling in Verbindung stehende bösartige URLs und Dateien identifizieren und als Teil der Attacke zuordnen. In der Folge blockierte die Sicherheitsinfrastruktur die URLs und schützt so die Anwender.