De Storm worm, die zich de afgelopen weken via wenskaarten en sexy berichtjes verspreidde, gooit het nu over een andere boeg door gebruikers logingegevens voor downloadsites te sturen. De malware, in werkelijkheid een Trojaans paard, staat ook bekend als Peacomm, Tibs, Dorf, Zhelatin en Nuwar, en is sinds januari zeer actief.

De nieuwste varianten zijn allemaal van het onderstaande formaat voorzien, en beloven toegang tot accounts en downloadsites zoals "Downloader Heaven, Office Antics, Free ringtones, Game connect, Bartenders guide, Wine lovers, WebTunes, Coolpics, Web cooking, Resume hunters, Cat Lovers, Member Details, Membership Support, New Member Confirmation, Poker World en Tech Department."

In de e-mail staat een IP-adres dat een lek in Windows Media Player en/of WinAmp gebruikt om het systeem te infecteren, en anders een .exe bestand (applet.exe) aanbiedt om hetzelfde te bereiken. Volgens Symantec beschikt de bende achter de Storm worm over een gigantische hoeveelheid IP-adressen om de malware te hosten. Om detectie te voorkomen wordt het bestand elke 30 minuten aangepast. En succesvol, want er is nog altijd een groot aantal virusscanners die de malware niet herkennen.

Welcome Member,

We are glad you joined Downloader Heaven.

User Number: 3692766664
Your Temp. Login ID: user3709
Your Password ID: oh662

Please keep your account secure by logging in and changing your login info.

Click here to enter our secure server: http://555.112.63.49/

Welcome,
Membership Support Department
Downloader Heaven