Beheerders Srizbi-botnet sturen spam met 'Osama-nieuws'
Gepubliceerd: Woensdag 23 april 2008
Auteur: Wilbert de Vries en Maarten Reijnders
In een poging om nieuwe internetgebruikers te infecteren, versturen de beheerders van het Srizbi-botnet mails met het bericht dat Osama bin Laden is opgepakt.
De berichten zijn zogenaamd afkomstig van nieuwsorganisaties zoals CNN, CNBC en de Financial Times. De mails bevatten een link die volgens de opstellers van het bericht leidt naar een video-interview met de leider van Al-Qaeda. Wie de link aanklikt, wordt via Google ge-redirect naar een kwaadaardige website, zo waarschuwt het security-bedrijf Marshal. De beheerders van Srizbi maken vaker gebruik van deze truc om gebruikers te doen geloven dat ze een 'veilige' site bezoeken.
Op de betreffende webpagina krijgt de bezoeker het aanbod om het bestand videousa.exe te downloaden. Wie deze file uitvoert, zorgt er op die manier voor dat de Srizbi-bot op zijn pc wordt geïnstalleerd. De site bevat daarnaast Javascript dat probeert gebruik te maken van kwetsbaarheden van Internet Explorer.
Behalve de Osama-mails proberen de makers van de Srizbi-malware het ook met mails met onderwerpen als 'You look stupid in this video [naam van de ontvanger] see yourself' en 'we caught you naked [naam van de ontvanger] - check the video'. Het versturen van dergelijke spamberichten (met aanlokkelijke en/of intrigerende subjects) is een beproefde methode om slachtoffers te vinden voor een botnet. Ook de makers van de Storm Worm hebben er volop gebruik van gemaakt.
Overigens is het botnet van Srizbi volgens Marshal aanmerkelijk groter dan het Storm Worm botnet. Van alle spamberichten is inmiddels bijna de helft afkomstig van computers die zijn geïnfecteerd met Srizbi. Het Storm-botnet komt niet verder dan 1 procent.
Bron: Techworld
