Anonymisierungsdienst nutzt Botnet als Proxies

Der Anbieter AWM Proxy soll mit dem TDL4-Bot infizierte Rechner als Anonymisierungsproxies vermieten. Das kann den Besitzern der infizierten System rechtlichen Ärger einbringen.

In Pocket speichern vorlesen Druckansicht 125 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Der Anonymisierungsdienst AWM Proxy vermietet mit dem TDL4-Bot infizierte Rechner als Anonymisierungsproxies, berichtet Sicherheitsexperte Brian Krebs. Zu Preisen ab 3 US-Dollar am Tag kann jedermann seinen Datenverkehr durch das Botnet leiten lassen und so anonym mit fremdem IPs im Internet surfen. Laut Krebs ist der Anbieter bereits seit Anfang 2008 aktiv. Eine Firefox-Erweiterung soll Konfiguration und Nutzung erleichtern. Der Anbieter verspricht, keine Log-Dateien über die Aktivitäten seiner Nutzer anzulegen.

Ruft der Proxy-Nutzer etwa illegale Inhalte wie Kinderpornographie ab oder nutzt die anonymisierte Verbindung zur Verbreitung von Terrordrohungen, können dem Besitzer des infizierten Systems rechtliche Konsequenzen drohen. Um nachzuweisen, dass er die illegalen Aktivitäten nicht selbst durchgeführt hat, muss er das in den Tiefen des Systems versteckte Rootkit erst mal ausfindig machen.

Und das ist gar nicht so leicht, wie auch der Artikel Tatort Internet: Operation am offenen Herzen aus c't 18/2011 illustriert. TDL4 ist eines der fortschrittlichsten Rootkits. Unter anderem implementiert es ein eigenes verschlüsseltes Dateisystem. Seine Rootkit-Funktionen machen selbst vor 64-bittigen Windows-Ausgaben keinen Halt.

Das Proxy-Modul ist nur eine von zahlreichen Funktionen des Bots: Hat sich der Schädling erst mal im System verankert, kann der Botnet-Betreiber beliebige Dateien auf den infizierten Rechner laden und ausführen. Dadurch lässt sich TDL4 etwa zum Spamversand oder für DDoS-Attacken missbrauchen. Auch das Ausspionieren von Online-Banking-Sitzungen ist möglich. Eine umfangreiche Analyse findet man auch beim Antivirenhersteller Kaspersky. (rei)