Hackers verspreiden Storm-worm via valse Youtube-link

Beveligingsonderzoeker Johannes Ullrich van het Sans Institute merkte de kwaadaardige e-mails afgelopen weekeinde al op. "De link lijkt op een echte verwijzing naar Youtube, maar stuurt de gebruiker in werkelijkheid door naar een numerieke url", aldus Ullrich op het blog van het Internet Storm Center.

Wanneer de cursor op de link geplaatst wordt, verschijnt het nummerieke ip-adres en niet de verwachte Youtube-url. Ontvangers die op de link klikken, krijgen een venster te zien dat aangeeft dat de video op de achtergrond geladen wordt. In werkelijkheid 'probeert een ingebouwde Javascript-opdracht een cocktail van browser- en applicatie-exploits uit', aldus McAfee-onderzoeker Vinoo Thomas. Als één van de exploits succesvol is, wordt het Storm-virus geïnstalleerd.

Collega-onderzoeker Roger Thompson van Exploit Preventions Labs identificeerde het exploit-pakket afgelopen weekeinde als de zogeheten 'Q406-rollup', een verzameling malware die sinds vorig jaar in omloop is.

Bedreven

Verspreiders van de Storm-software slagen er vaak in om ontvangers van de kwaadwillende e-mails ertoe te bewegen om bijgevoegde bestanden of hyperlinks te openen. Afgelopen week verklaarde een Symantec-onderzoeker nog tegenover Computerworld dat de oplichtersbende 'heel bedreven' is in het creëeren van uitnodigende e-mails. "Ze hebben een goed gevoel voor populaire gebeurtenissen en het misbruiken van de interesse erin", aldus onderzoeker Hon Lu. "En als er geen nieuwswaardige gebeurtenissen zijn, dan verzinnen ze die gewoon."

De Storm-malware is een Trojaans paard dat al lang voor grote problemen zorgt. Zo zou de software verantwoordelijk zijn voor een plaag aan kwaadwillende e-cards en werden geïnfecteerde pc's eerdere deze maand gebruikt voor grootschalige aandelen-spam.