Europol, FBI und Co. attackieren Botnetz Dorkbot

In der vergangenen Woche haben die Kämpfer wider die Botnetze der Infrastruktur eines der am weitesten verbreiteten Schädlinge einen vernichtenden Schlag zugefügt, und zwar ist die Rede von Dorkbot. Laut Experteneinschätzung hat dieser Windows-Wurm mit der Funktionalität einer Backdoor innerhalb von vier Jahren mehr als 1 Million Computer in 190 Ländern der Welt infiziert.

An der grenzübergreifenden Operation nahmen das unter der Ägide Europols stehende Europäische Zentrum zur Bekämpfung der Cyberkriminalität (EC3), die europäische Joint Cybercrime Action Taskforce (J-CAT), Interpol, das FBI sowie Strafverfolgungsorgane aus Kanada, Belgien, Frankreich, Litauen, Spanien, den Niederlanden, Albanien und Montenegro teil. Insbesondere half die kanadische Polizei der Staatsanwaltschaft dieses Landes, im Rahmen des geltenden Gesetzes über Spam den ersten Beschluss dieser Art umzusetzen und einen C&C-Server von Dorkbot in Toronto stillzulegen.

Unterstützung von Expertenseite erhielten die staatlichen Organe von Microsoft, ESET sowie dem polnischen und dem amerikanischen CERT. Zum gegenwärtigen Zeitpunkt sind die Teilnehmer an der gemeinsamen Aktion mit dem Auszählen derjenigen beschäftigt, die unter der Aktivität der Botmaster zu leiden hatten.

Microsoft und ESET beobachten Dorkbot (auf dem Schwarzmarkt ist der Schädling als NgrBot bekannt) seit 2011. Dieser Wurm verbreitet sich über USB-Sticks, IM-Kanäle, soziale Netzwerke und Drive-by-Downloads mittels Exploits. Laut Aussage der Experten setzen einige Betreiber von Zombienetzen auf der Basis von Dorkbot auch ein spezielles Downloader-Modul ein.

Die Hauptaufgabe des Schädlings besteht laut Microsoft im Diebstahl von Konto-Zugangsdaten und persönlichen Informationen. Dorkbot überwacht die Verbindungssessions über den Browser und verfolgt das Betreten bestimmter Websites. Die Schädlinge interessieren sich in erster Linie für Mail-Services, wie etwa AOL, Gmail und Yahoo, soziale Netzwerke (Facebook, Twitter) sowie auch eBay, PayPal, Steam, YouTube, Netflix und andere.

Nach seinem Start auf dem Rechner des Opfers öffnet Dorkbot eine Backdoor und wartet auf die Befehle seiner Gebieter. Was in den meisten Fällen zuerst erledigt werden muss, ist die Selbstverbreitung oder der Download eines anderen Schädlings. Im letztgenannten Fall ist die Auswahl groß, sie reicht von Downloadern in der Art von Gamarue/Andromeda oder Necurs über Verschlüsselungsschädlinge (Crowti/Cryptowall) bis zu Spam-Bots, wie etwa Waledac, Kelihos und Lethic.

Dorkbot kann zudem auf Befehl den Zugriff des Opfers auf Computersicherheits-Websites blockieren, um zu verhindern, dass vorhandene AV-Schutzlösungen aktualisiert werden. Der Schädling hält auch die Zeit seiner ersten Ausführung fest und beim Erhalt eines Updates gleicht er dieses mit der Zeitmarke ab: Der zeitliche Abstand sollte nicht weniger als 48 Stunden betragen, andernfalls würde der Aufruf der URL entdeckt, sollte der Start in einer Sandbox erfolgt sein.

Die Steuerung von Dorkbot erfolgt über IRC-Kanäle, einige Varianten des Wurms verwenden laut Microsoft geschützte Verbindungen (SSL). Die Adressen der C&C-Server sind üblicherweise in das IRC-Modul des Schädlings geschrieben. Bei der ersten Verbindung teilt Dorkbot den Botmastern seinen Standort mit, die Windows-Version und die persönliche ID. Daraufhin ist er bereit für die Ausführung der Befehle.

Im letzten halben Jahr wurden laut Microsoft durchschnittlich 100.000 Dorkbot-Infektionen pro Monat registriert. Die meisten Bots wurden in Indien (21% der Gesamtmenge), Indonesien (17%), Russland und Argentinien (16 und 14% respektive) gefunden. Dabei entfielen auf die zehn nach diesem Wert führenden Länder insgesamt 61% der Detektionen.

Quelle: Europol

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.