Botnetz mit fast zwei Millionen PCs entdeckt

Die Armee der Zombie-PCs wird immer grösser.

Spezialisten des Security-Hersteller Finjan haben ein Botnetz entdeckt, über das nach ihren Angaben nicht weniger als 1,9 Millionen "Zombie-PCs" kontrolliert wurden. Dabei handelt es sich um eines der grössten Botnetze, dass bisher analysiert werden konnte.
 
Besonders beunruhigend: Unter den infizierten Computern befanden sich auch die PCs von diversen Regierungsstellen, vor allem den USA und Grossbritannien, aber auch vielen anderen Ländern. Behörden und Unternehmen, deren PCs infiziert sind, wurden inzwischen gemäss Finjan informiert, und der Server in der Ukraine, von dem aus das Botnetz kontrolliert wurde, ist ausser Betrieb.
 
Eine nette Management-Applikation
Die Finjan-Spezialisten stiessen durch die Untersuchung eines infizierten PCs auf den Kommandoserver. Da die Betreiber einige Ordner darauf nicht geschützt hatten, konnten die Finjan-Leute interessante Einblicke in seine Funktionsweise erhalten, die sie in einem ausführlichen Blogeintrag schildern.
 
Gemäss Finjan wurde der Server von sechs Leuten kontrolliert. Mit Ausnahme der Sicherheitslücke, die sie auf ihrem Server offen liessen, gingen sdie Kriminellen höchst professionell vor. Unter anderem war ihnen anscheinend, wie jedem guten Rechenzentrumsbetreiber, der Wert einer guten und simplen Management-Software klar. Über diese "nette Backend-Management-Applikation", so die Finjan-leute, konnten die Kriminellen sehr einfach die infizierten PCs im Botnetz zum Herunterladen und Ausführen zusätzlicher Software instruieren.
 
100 Dollar für 1000 PCs
Die Botnetz-PCs konnten dafür offensichtlich auch in Gruppen aufgeteilt werden, denn die Betreiber boten die Zombie-PCs anderen Kriminellen portionenweise zur Miete an, wie der Finjan-Cheftechnologe Yuval Ben-Itzhak dem 'Register' erzählte. Für 1000 PCs sollen sie rund 100 Dollar verlangt haben.
 
Über die heruntergeladene Zusatzsoftware konnten die Angreifer mit den Zombie-PCs dann so ziemlich alles anstellen, was ihnen beliebte: Files davon herunterladen, Tastatureingaben speichern, Spam verschicken und vieles mehr.
 
Für die ursprüngliche Infektion der PCs mit der Bot-Software wurde ein Trojaner verwendet, der über unsichere Websites durch Drive-By-Downloads auf die PCs der Opfer gelangte. Der Trojaner soll dabei eine ganze Reihe von Schwachstellen in Explorer, Firefox oder PDF-Readern ausgenützt haben. Ausserdem wurde er gemäss Finjan nur von sehr wenigen Antivirenprodukten (4 von 39 getesteten) als Schadsoftware erkannt. Die Infektionsrate war denn auch offensichtlich sehr hoch – das Millionen-Botnetz war erst seit Februar in Betrieb.

---