Storm spammerne benytter nu YouTube som lokkemad til at få intetanende brugere til at blive inficeret med deres orm. De angiver forskellige links til videoer, men man omdirigeres i virkeligheden til en inficeret maskine i deres botnet.
I sidste uge kunne Virus112 afsløre den seneste trend fra hackergruppen, der udnytter Storm-ormens muligheder for at udsende spam. Her prøvede de at få modtageren til rette deres personoplysninger ved at klikke på et link med en oplyst IP-adresse. Linket var til en tilfældigt inficeret maskine i deres botnet, og fulgte man linket, blev man opfordret til at hente en programfil, som viste sig at være selve ormen.
Nu har denne gruppe slået sig på de populære YouTube videoer, idet de lørdag den 25. august udsendte de første spam-mails, der prøver at lokke folk til at se disse videoer ved at klikke på et link. Selve linket er dog blevet raffineret lidt fra tidligere, man benytter nu HTML til at kamuflere IP-adressen til den inficerede maskine i deres botnet.
Mailen ser således ud i det konkrete tilfælde:
-----------------------
Emne: Where did you take that?
OMG, what are you doing man. This video of you is all over the net. take a look, lol...
http://www.youtube.com/watch?v=sQ6L87wRPsq
----------------------
I viste tilfælde er afsenderadressen på mailen spoofed. Selve IP-adressen tilhører en kabelnet-bruger hos den engelske ISP Blueyonder (Virginmedia). Virus112 har set relateret spam i de sidste dage, hvor teksten varierer, men de lokker alle med et link til YouTube:
----------------------
this i not good. If this video gets to her husband your both dead. go
look at it...
http://www.youtube.com/watch?v=7ZelFkBbEor
----------------------
----------------------
Man you have got to tell me where you picked her up. I saw this on the
web, it has to be you. go look at it...
http://www.youtube.com/watch?v=MFYuOVM1gv
----------------------
Det ser ud til, at YouTube Stormen har nået sit højeste, og så småt er ved at dø ud. Virus112 vurderer dog,
at dette blot er stilhed før stormen – det vil sige inden næste angreb. Hackergruppen er yderst omstillingsorienteret, og de griber enhver chance for at lokke nye internetbrugere i fælden. Vi må derfor forvente, at de i øjeblikket pønser på en ny plan.
Tonny Bjørn
Virus112
kilde virus 112