Binärdateien von Kelihos ziehen um

Die Mitarbeiter des Schweizer Projekts Abuse.ch haben aufgedeckt, dass die Betreiber des р2р-Botnetzes Kelihos, das auf Spam-Versand spezialisiert ist, die TLD-Domain .eu verlassen haben und die Bots nun von Websites aus aktualisieren, die sich in der russischen Zone befinden.

Laut Abuse.ch fand die Verlagerung der Plattformen, die von Cyberkriminellen zur Verbreitung von Kelihos, alias Hlux, genutzt werden, in eine andere TLD-Zone bereits letzten Sommer statt. Die Schweizer zählten mehr als 170 ru-Domains, die mit Host des Fast-Flux-Netzes assoziiert werden, die die schädlichen Dateien calc.exe und rasta01.exe ausgeben. Alle diese Domains wurden über Reggi.ru registriert und werden von NS-Servern bearbeitet, die ebenfalls in dem Fast-Flux-Botnetz untergebracht sind. Der Registrator der DNS-Namen hast sich nicht geändert und ist nach wie vor Internet.bs (Bahamas).

Nach Einschätzungen von Abuse.ch umfasst das Botnetz Kelihos zum gegenwärtigen Zeitpunkt 100.000-150.000 unikale IP-Adressen, die täglich Spam versenden. Bemerkenswert ist auch, dass die von den Experten präsentierten Untersuchungsergebnisse eine Neubildung betreffen, die von den Botmastern auf der Basis von Kelihos bald nach der Auflösung des vorherigen Zombienetzes vorgenommen wurde. Dieses wurde im September letzten Jahres mit Hilfe von Microsoft, Kaspersky Lab und Kyrus Tech außer Betrieb gesetzt und zählte damals um die 50.000 IP-Adressen.

Nach Angaben von Kaspersky Lab erschien die neue Kelihos-Version sofort nach der Neutralisierung der ursprünglichen Variante des Botnetzes und infizierte bereits im Februar mehrere zehntausend Anwendercomputer. Die Funktionalität des Bots wurde erweitert, um so den Botnetzbetreibern zusätzliche Einnahmen zu bescheren. Der aktualisierte Kelihos ist nun auch in der Lage USB-Sticks zu infizieren, indem er auf ihnen lnk-Dateien erstellt – so ähnlich, wie es auch Stuxnet gemacht hat. Dadurch wurde diesem Schädling ein weiterer Verbreitungsweg eröffnet.

Quelle: abuse.ch

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.