Thema: Trojaner 2.0 nutzen Web 2.0

[SiLæncer]

Nach Ermittlungen von Microsofts Digital Crime Unit hat der mutmaßliche Betreiber des Kelihos-Botnets in der Vergangenheit bei einem Hersteller von "Firewalls, Virenscannern und Sicherheitssoftware" als Projektmanager und Entwickler gearbeitet. Dies geht aus einer Klageänderung hervor, die Microsoft am gestrigen Montag dem US-Bezirksgericht Ost-Virginia vorgelegt hat.

Um welches Unternehmen es sich dabei genau handelt, ließ Microsoft jedoch offen. Recherchen des Sicherheitsexperten Brian Krebs zufolge soll es sich dabei um Agnitum aus dem russischen St. Petersburg handeln. Agnitum hat sich vor allem mit der Personal Firewall Outpost einen Namen gemacht.

Krebs bezieht sich auf Angaben, die der mutmaßliche Botnet-Betreiber auf seinem Profil bei dem Business-Netzwerk Xing gemacht hat. Demnach war der 31-jährige Verdächtige angeblich von 2005 bis 2007 für das Unternehmen tätig. Derzeit arbeitet er laut Microsoft als Freelancer bei einer Firma für Software-Beratung und -Entwicklung.

Das Botnet Kelihos hatte Microsoft im September in Zusammenarbeit mit den Sicherheitsfirmen Kyrus Inc. und Kaspersky Labs erfolgreich stillgelegt. Zu diesem Zeitpunkt hatte der Botnetz-Betreiber über 40.000 infizierte Rechner unter seiner Kontrolle. Laut Microsoft hätte man mit dieser Infrastruktur bis zu 3,8 Milliarden Spam-Mails täglich versenden können.

Quelle : www.heise.de

[ritschibie]

Experte untersucht Schadcode in einem
US-Malware-Lab: Kelihos-Infrastruktur blieb
bestehen (Bild: Jim Urquhart / Reuters)

Das Botnetz Kelihos ist wieder aktiv - über das Netz werden wieder Spammails verschickt. Möglicherweise wird es sogar von zwei verschiedenen Betreibern kontrolliert.

Das im September vergangenen Jahres ausgeschaltete Botnetz Kelihos ist wieder aktiv. Die rund 41.000 Rechner, die zu dem Netz gehörten, seien mit einer neuen Variante der Malware infizierten worden und versendeten wieder Spam-Mails, schreibt Maria Garnaeva vom Antivirensoftware-Hersteller Kaspersky Lab im Unternehmensblog Securelist.

Botnetz übernommen

Mit einem Trick hatten Microsoft und Kaspersky das Botnetz deaktiviert: Sie brachten die infizierten Rechner dazu, nicht mehr auf die Steuerungsrechner des Botnetzes, die sogenannten Command-And-Control-Server, zu hören. Auf diese Weise übernahmen Microsoft und Kaspersky selbst die Kontrolle.

Diese Sinkholing (von Sinkhole, Doline oder Karsttrichter) genannte Methode habe den Vorteil, dass ein Botnetz schnell und einfach ausgeschaltet werden könne, ohne die ganze Infrastruktur übernehmen zu müssen, schreibt Garnaeva. Nachteil sei aber, dass die Infrastruktur bestehen bleibe und die Betreiber unangetastet blieben. Sie könnten ihr Netz wie im vorliegenden Fall reaktivieren. Die ersten Versuche dazu hatten die Experten bei Kaspersky laut Garnaeva schon wenige Tage nach der Übernahme festgestellt.

Zwei Schlüssel

Die in das Botnetz eingebundenen Rechner seien mit einer neuen Variante der Malware infiziert worden. Die nutze neue Verschlüsselungsmethoden, um den Spamversand zu verschleiern. Sie hätten zwei verschiedene Schlüssel gefunden, die dafür genutzt würden, erklärt Garnaeva. Das lege den Schluss nahe, dass zwei verschiedene Gruppe das Botnetz kontrollierten.

Kelihos bestand bei seiner Deaktivierung 2011 aus rund 41.000 Computern, die am Tag etwa 3,8 Milliarden Spammails verschicken konnten. Verantwortlich für die Programmierung der Malware und den Aufbau des Botnetzes soll ein Programmierer aus St. Petersburg sein. Microsoft hat gegen den Mann geklagt.

Quelle: www.golem.de

[SiLæncer]

Das vor vier Monaten vom Netz genommene Kelihos-Botnet, das zu seiner Blütezeit bis zu vier Milliarden Spam-Mails am Tag verschickte, wurde nicht reaktiviert. Entsprechende Medienberichte erwiesen sich als Missverständnis. Zutreffend ist allerdings, dass die Kelihos-Malware von anderen Internet-Kriminellen teilweise weiterhin verwendet wird.

Ein Blog-Posting eines Forschers des IT-Sicherheits-Unternehmens Kaspersky Lab hatte für Spekulationen gesorgt. Einige Fachmedien berichteten, Kelihos sei reaktiviert worden. Dies ist allerdings nicht korrekt, wie Kaspersky und Microsoft, die am Takedown von Kelihos beteiligt waren, am vergangenen Freitag erklärten.

Kaspersky betonte in seiner Stellungnahme, man wolle "den Unterschied zwischen dem Botnet, das wir mit Microsoft zusammen ausgeschaltet haben, und neuen, auf dem originalen Kelihos-Code basierenden Malware-Samples klarstellen". Das originale Kelihos-Botnet befände sich nach wie vor unter der Kontrolle der Sicherheitsforscher; die Bots erhielten keine Befehle und seien daher auch nicht aktiv. Man habe es vielmehr mit einem neu aufgebauten Botnet zu tun, das sich aber der Kelihos-Malware bediene.

Dies bestätigte auch Richard Domingues Boscovich, Jurist bei der "Microsoft Digital Crimes Unit". Er erklärte, das neue Botnet verwende "eine leicht aktualisierte Variante der Malware, auf der das originale Kelihos-Botnet aufgebaut war".

Es ist in der Malware-Branche - ebenso wie bei der Programmierung anderer Software - nicht ungewöhnlich, Teile des Quellcodes von früheren Programmen zu übernehmen. In der Tat baut die Kelihos-Software Berichten von Microsoft zufolge ihrerseits auf der bei dem bereits 2010 ausgeschalteten "Waledac"-Botnet verwendeten Malware auf.

Die neue Kelihos-Variante erhielt die Bezeichnung "Win32/Kelihos B" und wurde zügig in die Signaturlisten gängiger Sicherheits-Software-Lösungen übernommen.

Quelle: www.gulli.com

[SiLæncer]

Das tot geglaubte Cutwail-Botnet ist offenbar wieder aktiv und versendet massenhaft Spam-Mails mit bösartigen HTML-Anhängen. Diese Mails lassen sich drei verschiedenen Spam-Kampagnen mit den Betreffzeilen "Suspended bank account", "End of August Statement" und "Xerox Scan" zuordnen.

Wird der Anhang der betreffenden E-Mails heruntergeladen und geöffnet, wird er per JavaScript auf eine Website der Internet-Kriminellen umgeleitet, auf der dann die eigentliche Malware verteilt wird. Derzeit wird Schadsoftware auf Basis des auf dem Schwarzmarkt verkauften "Phoenix"-Malware-Bausatzes eingesetzt.

Sicherheitsforscher raten Internet-Nutzern, auf keinen Fall E-Mails mit entsprechenden Betreffzeilen zu öffnen. Außerdem solle auf die Aktualität eingesetzter Software und insbesondere Browser-Plugins geachtet werden, da Schwachstellen an diesen Stellen sonst von den Angreifern ausgenutzt werden können.

Quelle: www.gulli.com

[SiLæncer]

Die Sicherheitsforscher von 'Seculert' wurden darauf aufmerksam, dass die Köpfe hinter dem kürzlich abgeschalteten Kelihos-Botnetz bereits an einem neuen Netzwerk arbeiten. Hierbei wird auf einen Facebook-Wurm gesetzt.

Nach der Erfolgsmeldung im Hinblick auf die Abschaltung des Kelihos-Botnetzes in dieser Woche durch den Sicherheitsdienstleister Kaspersky Lab in Kooperation mit dem CrowdStrike Intelligence Team, Dell SecureWorks und Mitgliedern des Honeynet Projects, gibt es nun neue Informationen über die nächsten Pläne der Botnetz-Betreiber.

Nähere Informationen zu diesem Thema gehen aus einem zugehörigen Blogbeitrag von Seculert hervor. Angeblich wird für die Verbreitung des eingesetzten Schädlings auf einen Trojaner gesetzt, der über das weltgrößte Social Network in Umlauf gebracht wird und bisher über 70.000 Facebook-Nutzer infiziert haben soll. Es handelt sich dabei um eine neue Version des Kelihos-Trojaners, die als Kelihos.B bekannt ist.

Möglicherweise könnten die Köpfe hinter dem Botnetz zahlreiche Drohnen, die nach wie vor mit der ursprünglichen Malware infiziert sind, wieder für die eigenen Zwecke einsetzen und ein neues Netzwerk aufbauen. Zu diesem Zweck müssen die Systeme lediglich mit der neuen Trojaner-Version infiziert werden. Einen möglichen Weg dafür hat man offenbar schon gefunden.

Es gilt im Allgemeinen als äußert schwieriges Vorhaben, wenn ein Botnetz, bei dem auf P2P-Technologien gesetzt wird, komplett abgeschaltet werden soll. Sicherheitsexperten sind der Meinung, dass dafür die Betreiber verhaftet werden müssen. Die Sicherheitsexperten haben im Hinblick auf das erwähnte Kelihos-Netz auf eine Sinkhole-Operation gesetzt und das Netz auf diese Weise untergraben.

Grundsätzlich bestand die Schwierigkeit darin, dass es sich um ein Peer-to-Peer-Botnetz handelte und jeder Bestandteil des Netzes sowohl als Client oder auch als Server agieren kann. Aus diesem Grund wurde ein globales Netzwerk auf den Weg gebracht und in die bestehende Struktur des Botnetzes eingeschleust. Dieses Sinkhole wurde schließlich immer mächtiger und die Experten konnten immer mehr infizierte Maschinen kontrollieren.

Quelle : http://winfuture.de

[SiLæncer]

Das Sality-Botnetz hat im Februar 2011 offenbar den gesamten IPv4-Adressraum auf zu korrumpierende Voice-over-IP-Endpunkte (VoIP) durchsucht. Forscher der University of California, San Diego (USCD) und der Universität von Neapel, Italien, haben diese Aktivitäten des Botnetzes beobachtet und ausgewertet.

Der Scan dauerte insgesamt 12 Tage und zeichnete sich durch eine besonders behutsame Vorgehensweise aus, die normalerweise kaum Alarm auslösen würde. Die Forscher registrierten die Aktivitäten mit dem UCSD Network Telescope, auch das "UCSD darknet" genannt. Für dieses Darknet hat die Universität einen kompletten /8-IP-Bereich reserviert; also alle IP-Adressen aus einem Netz, bei dem wie bei 10.0.0.0 nur das erste Byte die Netzwerkadresse festlegt. Von diesen Adressen geht regulär keinerlei Netzwerkaktivität aus. Damit steht fest, dass jeglicher an dieses Netz gerichtete Netzwerkverkehr von externen Quellen verursacht wurde. Im Februar 2011 registrierte das UCSD Telescope den besagten systematischen Scan seines kompletten Adressraums. Indem die Forscher dies mit öffentlich zugänglichen Daten über weltweiten Netzwerkverkehr korrelierten, kamen sie zu dem Schluss, dass nicht nur ihr eigenes Netz, sondern anscheinend das komplette Internet gescannt wurde.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Schädlinge nutzen immer raffiniertere Tricks, um sich vor der automatisierten Erkennung durch spezielle Analyse-Systeme zu verstecken. Der Antiviren-Hersteller Symantec berichtet von einem Trojaner, der seinen bösartigen Code an die Behandlung von Maus-Aktivitäten koppelt. Und da an den automatisierten Analyse-Systemen niemand die Maus schubst, wird der Code nicht aktiv und der Schädling nicht erkannt.

Angesichts der explosionsartig wachsenden Zahl neuer Schädlingsvarianten – Symantec spricht von circa 1 Million pro Tag – müssen vollständig automatisierte Systeme einen Großteil der Arbeit zur Erstellung von Viren-Signaturen vorab erledigen. Dazu gehören auch Systeme, auf denen ein potentieller Schädling ausgeführt und genau beobachtet wird, was der alles so anstellt. Diese Ergebnisse werden dann ebenfalls weitgehend automatisiert ausgewertet; nur in auffälligen Spezialfällen sieht sich ein Mensch das noch einmal genauer an.

Die einfachste Methode diese Form der Erkennung auszutricksen ist, sich einfach Zeit zu lassen. Denn typischerweise wird die Analyse nach einem bestimmten Zeitraum abgebrochen. Wenn ein verdächtiges Programm jedoch wie von Symantec beobachtet den Schadcode erst nach 5 Minuten entpackt, sich dann nochmal 20 Minuten Zeit lässt, um sich in die Registry einzuklinken und dann erst nach weiteren 20 Minuten die ersten Netzwerkaktivitäten entfaltet, hat es gute Chancen, einer Entdeckung zu entgehen.

In einer noch raffinierteren Version klinkt sich ein Schädling über die Windows-API-Funktion SetWindowsHookExA in die Message-Handling-Funktionen ein, die dafür zuständig sind, Maus-Events zu verarbeiten. Auf einem normalen Windows-System klickt der Anwender früher oder später etwas an und aktiviert damit unwissentlich den Schadcode; auf einem Analysesystem hat der Trojaner gute Chancen, der Entdeckung zu entgehen. Die AV-Hersteller werden jetzt wohl virtualisierte Mausschubser nachrüsten müssen.

Quelle : www.heise.de

[Jürgen]

Sie werden, sofern noch nicht geschehen, auf jeden Fall auch in ihre Produkte Verhaltensüberwachungskomponenten nachrüsten müssen, die solche unberechtigten Software-Zugriffe auf die Maus, die Tastatur oder jedes andere HID erkennen und ggf. verhindern können.
Eigentlich müssten ähnliche Verfahren längst existieren, z.B. um virtuelle oder anderweitig gefälschte Klicks zu verhindern.

Jürgen

[SiLæncer]

Das Security-Street-Blog hat einen Botnetz-Client gefunden, dessen Betreiber sich mit Hilfe des Tor-Netzwerks versteckt. Die Arbeit von Sicherheitsexperten und Strafverfolgern wird durch diese Vorgehensweise deutlich erschwert.

Wie Claudio Giarnieri schreibt, sind sind er und seine Kollegen in den letzten Wochen über ein außergewöhnliches Botnetz gestolpert, dessen Ursprung sie zunächst kaum ausmachen konnten. Allerdings fielen ihnen Parallelen zwischen dem gefundenen Botnetz und den Ausführungen von GData auf, die ein ähnliches Tor-Botnetz schon im September beschrieben.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Trend Micro hat neue Trojaner entdeckt, die ihre Kommunikation mit der Nachahmung von gängigen Chat-Protokollen tarnen, beispielsweise von Microsofts oder Yahoos Messenger. Das Sicherheitsunternehmen gibt diesen Trojanern den Beinamen „Fakem“; insgesamt spricht das Unternehmen von Fakem-RATs (Remote Access Trojans). Mit ihnen können Angreifer aus der Ferne auf den PCs der Opfer Ordner durchsuchen, Screenshots tätigen, Webcams und Mikrofone steuern und Daten abgreifen.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Die Teilnehmer der Veranstaltung
konnten das Sterben des Botnets live
auf einer Weltkarte mitverfolgen. Das
Foto zeigt die Situation rund drei
Minuten nach dem Start des
Takedown. Bild: Uli Ries

Tillmann Werner von Crowdstrike hat während seines Vortrags auf der RSA Conference dem Kelihos-Botnetz vor Publikum den Todesstoß versetzt. Diese inzwischen dritte Generation des Schädlingsnetzes verschickt – wie üblich – Viagra-Spam, klaut Bitcoin-Wallets und Logindaten. Die gleiche Gang, die auch Kelihos betreibt, stand laut Werner zuvor bereits hinter den Botnetzen Waledac und Sturm.

Der Forscher schleuste einen PC in die Gemeinde der Zombie-PCs ein, der sich über das legitime Kommunikationsprotokoll der Bots mit den infizierten Rechnern verständigen kann. Auf diesem Weg verbreitete dieser PC innerhalb des Peer-to-Peer-Netzes der Schadsoftware eine Liste mit 500 IP-Adressen von vermeintlichen benachbarten Nodes im Botnet. Mehr als 500 Adressen können die Bots lokal nicht speichern. Die Bots teilen sich mittels dieser Listen gegenseitig die Netzwerkroute zu den Command&Control-Servern mit, die die Arbeitsaufträge an die Bots verschicken.

Im Fall des "Angriffs" durch Tillmann Werner zeigten die 500 Einträge alle auf den gleichen Server: Einen von Werner und anderen Experten, darunter Vertreter der aufs Bekämpfen von Malware-Netzen spezialisierten Shadowserver Foundation, betriebener Sinkhole-Server.

Durch Analyse des Kommunikationsprotokolls des Malware-Netzes entdeckte Werner, dass dieser Teil des Datenaustauschs nicht digital signiert und somit anfällig für gefälschte Nachrichten ist. Zudem lässt sich der Doubletten-Check der Bots, der doppelte IP-Adressen ausfiltern soll, aufgrund einer Schwäche austricksen: Die Malware-Macher sehen für das Festlegen des TCP-Ports vier Bytes vor, obwohl zwei Bytes genügten. Die Forscher können also durch Zuhilfenahme der beiden oberen Bytes auf den ersten Blick variierende Port-Einträge für die gleiche IP-Adresse in der Liste erzeugen. De facto zeigen die Einträge aber alle auf Port 80, der innerhalb des Botnetzes zum Datenaustausch dient.

Botnet-Experte Tillmann
Werner auf der RSA
Conference in San Francisco.
Bild: Uli Ries

Haben die infizierten PCs einmal Kontakt zum Sinkhole gehabt, versorgt sie der Server mit unsinnigen Arbeitsaufträgen, die keinen Schaden anrichten, die Bots aber beschäftigen. Gleichzeitig mit den 500 IP-Adressen wurden den Zombie-PCs von den Forschern auch neue Einträge für die Blacklist übermittelt. Die neuen Einträge gehören den sechs derzeit bekannten Command & Control-Proxyservern des Kelihos-Netzes. Somit können die Betreiber des Netzes den infizierten PCs keine neue Konfiguration zukommen lassen.

Laut Tillmann Werner hat er die Aktion mit internationalen Behörden wie dem FBI abgesprochen und sich zuvor auch grünes Licht von Juristen geholt. Die Forscher wollen die Liste der IP-Adressen der infizierten Rechner, die sich mit dem Sinkhole verbanden, baldmöglichst an die Behörden und die Shadowserver Foundation geben, damit diese sich dann mit den Internetprovidern der betroffenen Opfer in Verbindung setzen können.

Wie lange dieser Schlag gegen die Botmaster diese von ihrem Treiben abhält, steht auf einem ganz anderen Blatt: Als die Vorgängerversion Kelihos.b abgeschaltet wude, dauerte es laut Werner lediglich 20 Minuten, bis der jetzt abgeschaltete Nachfolger Kelihos.c wieder auf 40.000 Zombie-PCs angewachsen war. Wie groß Kelihos.c zum Zeitpunkt seines Abschaltens ist, wollen die Forscher in den nächsten Tagen in einem Blogbeitrag bekannt geben.

Werner ist in der Security-Szene kein Unbekannter: Unter anderem hat er zusammen mit anderen Forschern ähnliche Schwachstellen in der Infrastruktur des Sturmwurms ausgemacht.

Quelle: www.heise.de

[SiLæncer]

Der gemeinsame Schlag von Microsofts Digital Crimes Unit, dem FBI und Interpol gegen das Klickbetrug-Botnetz ZeroAccess scheint nur von wenig Erfolg gekrönt gewesen zu sein. Wie die Sicherheitsfirma Damballa berichtet, hat die Aktion weniger als die Hälfte der Kontrollinfrastruktur des Botnetzes außer Gefecht gesetzt. Außerdem blieb der Peer-to-Peer-Kontrollkanal des Netzes bestehen, was es den Kriminellen ermöglicht, die infizierten Computer weiterhin mit Instruktionen zu versorgen. Die Geldquelle der Ganoven sei von dem Eingriff kaum beinflusst worden.

Laut Microsoft soll das ZeroAccess-Botnetz monatlich 2,7 Millionen US-Dollar erwirtschaften. Beim Klickbetrug nutzen die kriminellen Drahtzieher infizierte Computer dazu, ohne das Wissen ihrer Besitzer auf Werbebanner zu klicken. Die Besitzer des Botnetzes nehmen dann Geld von den Werbetreibenden ein, ohne dass ein Nutzer je die entsprechenden Werbebanner gesehen hat.

Um das Botnetz auszuschalten, hatte Microsoft eine zivilrechtliche Klage vor einem Gericht in Texas gegen die Betreiber angestrengt und zusammen mit FBI und Interpol 49 IP-Adressen lahmgelegt, die der Kontrollinfrastruktur von ZeroAccess zugerechnet werden. Diese Kontrollserver versorgen die Bots mit Instruktionen, welche Werbebanner verdeckt anzuklicken sind. Damballa kritisiert die Aktion als ineffizient und gibt an, das Botnetz werde nun über ein Peer-to-Peer-Netz weiterhin mit Anweisungen versorgt. Den Schätzungen der Firma zufolge sind noch 62 Prozent der Kontrollserver aktiv. Also wäre die Aktion auch fehlgeschlagen, wenn das Botnetz kein Peer-to-Peer-Protokoll eingesetzt hätte.

Bereits vor einigen Monaten hatte Symantec versucht, ZeroAccess zu zerschlagen – eine Aktion, die nur begrenzt gelang. Schon zu diesem Zeitpunkt war in der Gemeinde der Sicherheitsforscher bekannt, dass die Entwickler des Botnetz-Codes an einer Peer-to-Peer-Variante arbeiteten und dass den Ganoven nicht durch die einfache Übernahme von Kontrollservern beizukommen ist.

Quelle : www.heise.de

[SiLæncer]

Ein seit mindestens Mai agierendes Botnetz hat über 1800 Webseiten entdeckt, die anfällig für SQL-Injection-Angriffe sind. Zum Mitglied in dem Botnetz wird man durch Installation eines Add-Ons für Firefox. Nach der Infektion testet der Schadcode verdeckt besuchte Webseiten und meldet Schwachstellen an die Drahtzieher des von seinen Betreibern "Advanced Power" genannten Botnetzes.

SQL-Injection-Angriffe nutzen Lücken in Web-Applikationen, um Befehle direkt an die Datenbank der Webseite zu senden und so wichtige Daten auszulesen, welche die Ganoven verkaufen oder für weitere Angriffe nutzen können.

Der von dem Add-On installierte Schadcode enthält außerdem ein Modul, das auf den infizierten Computern Passwörter und persönliche Daten stehlen kann. Untersuchungen des Sicherheitsexperten Brian Krebs zu Folge wurde diese Komponente aber bisher nicht aktiviert. Weltweit sollen mehr als 12.500 PCs mit der Malware infiziert sein. Das Firefox Add-On gibt vor, einen "Microsoft .NET Framework Assistant" installieren zu wollen – allerdings wird in Wirklichkeit nur der Schadcode installiert und der Rechner des Opfers reiht sich in das Botnetz ein.

Mozilla hat das schädliche Add-On mittlerweile aus seinem Add-ons-Manager entfernt.

Quelle : www.heise.de

[Jürgen]

Das ist ja interessant.
Einen "Microsoft .NET Framework Assistant" habe ich nämlich jüngst auch entfernt, als ich das Notebook eines Bekannten durchzuputzen hatte.

Der hatte sich diverse nervige Toolbars und Browser-Hijacker eingefangen, zu deren völliger Beseitigung ich allerdings den Firefox am Ende komplett deinstalliert hatte, Registry und alle relevanten Ordner grob gereinigt und FF neu installiert.
Nur die Bookmarks habe ich vorher gesichert, Passworte oder andere Formulardaten waren eh' nicht gespeichert.

Unter Win8 läuft Spybot Search & Destroy offenbar nicht, und beliebig viel Zeit zur Suche nach allen erdenklichen anderen Tools hatten wir beide da auch nicht.

Jürgen

[SiLæncer]

Nachdem es kurzzeitig so schien, als hätte sich das ZeroAccess-Botnetz gut von der koordinierten Aktion gegen seine Steuer-Infrastruktur erholt, haben die Drahtzieher nun wohl die Kontrolle über die Bots aufgegeben, wie Microsoft berichtet. Sie deaktivierten die Klickbetrug-Komponente des Schadcodes und übermittelten als eine virtuelle weiße Fahne.

Microsofts Digital Crimes Unit, das FBI und Interpol hatten am Anfang des Monats in Texas einen Gerichtsbeschluss erwirkt, mit dem eine Reihe von Domains zur Kontrolle des Bot-Netzes aus dem Verkehr zu ziehen. Allerdings blieb die Peer-to-Peer-Kommunikation der Botnetz-Drohnen untereinander intakt und die Ganoven konnten weiterhin mit dem Botnetz ihr Unwesen treiben, wie die Sicherheitsfirma Damballa kritisierte.

Jetzt vermeldet Microsoft eine Kapitulation der Botnetz-Betreiber. Microsoft hatte offenbar die Aktivitäten des Botnetzes weiterhin beobachtet und dabei neue IP-Adressen registriert, von denen kriminelle Aktivitäten ausgingen. Diese wurden daraufhin von der European Cybercrime Centre bei Europol unter Leitung der Cybercrime Intelligence Unit des BKA zurückverfolgt. Daraufhin folgte eine Phase der Inaktivität und schließlich ein letztes Update, das an die infizierten Rechner geschickt wurde. In diesem entdeckten die Microsoft-Experten die Text "WHITE FLAG". Seither wurde keine Aktivität des Bot-Netzes mehr beobachtet. Das interpretiert Microsoft als Kapitulation, feiert die Arbeit als Erfolg und lobt die "effektive Zusammenarbeit im Kampf gegen Cybercrime".

Microsoft erklärt jedoch nicht, was dieses letzte Update auf den infizierten Rechnern tatsächlich bewirkt hat. Insbesondere ist keine Rede davon, dass sich die Schad-Software selbst gelöscht hätte oder zumindest die P2P-Kommunikation deaktiviert wäre. Man kann also nicht ohne weiteres davon ausgehen, dass das Bot-Netz tatsächlich lahm gelegt und nun kein weiterer Missbrauch der infizierten Rechner mehr möglich ist. Manos Antonakakis von Damballa erklärte gegenüber heise Security jedenfalls, dass so weit er das sehen kann, die Peer-to-Peer-Kommunikation noch immer intakt sei. Er hält ZeroAccess für eine Bedrohung, so lange dieses P2P-Netz funktioniert.

Quelle : www.heise.de