Der bekannte Sturm-Wurm beschert eine neue Malware-Kampagne.
Auch diesmal spielen die Versender der Spam-Mails ein altbewährtes Spiel und versenden neue Liebesgrüße.
Im Betreff der Mails werden verschiedene Varianten, zum Beispiel, "All I need is You" oder auch "Our Love is Free", genannt, um nur zwei zu nennen.
Wie gewohnt der knappe Mail-Text: "Here in my heart" oder auch "You are the ONE".
Dem Text folgt der Link auf eine IP-Adresse, die zu einem der nach wie vor zahlreichen Zombie-PCs des Sturm-Botnets gehört.
Die Eingangsseite enthält Javascript-Code, der das Browser-Fenster auf eine Größe von 250 x 120 Pixel verkleinert.
Die Aufforderung lautet zum Download einer Datei mit Namens "loveyou.exe".
Daraufhin folgt eine automatische Weiterleitung und sorgt zudem nach fünf Sekunden für den Download einer anderen Datei namens "iloveyou.exe".
Die Dateien können manchmal identisch sein und zwischen 140 und 220 KB groß.
Die Funktionalität ist jedoch stets gleich. Dabei handelt es sich um die Sturm-Malware, die dann als "herjek.exe" im Windows-Verzeichnis landet, sobald sie aufgerufen wird.
Diese Datei wird auch in den Registry-Schlüssel
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
eingetragen, womit der Schädling bei jedem Windows-Start geladen wird.
Danach reiht sich der PC in das Sturm-Botnet ein und verschickt Malware-Spam oder Werbe-Mails für dubiose Arzneimittelversender.
Derzeit ist die Erkennung der ständig neu generierte Sturm-Malware durch die Antivirus-Programme noch lückenhaft.