P2P-Botnetz ZeroAccess kaum tot zu kriegen

Die gemeinsame Aktion von Microsoft, dem FBI und Europol, die zum Ziel hatte, das Klickbetrug-Botnetz ZeroAccess lahmzulegen schoss wohl größtenteils am Ziel vorbei. Das Botnetz scheint nach wie vor quicklebendig.

In Pocket speichern vorlesen Druckansicht 52 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Der gemeinsame Schlag von Microsofts Digital Crimes Unit, dem FBI und Interpol gegen das Klickbetrug-Botnetz ZeroAccess scheint nur von wenig Erfolg gekrönt gewesen zu sein. Wie die Sicherheitsfirma Damballa berichtet, hat die Aktion weniger als die Hälfte der Kontrollinfrastruktur des Botnetzes außer Gefecht gesetzt. Außerdem blieb der Peer-to-Peer-Kontrollkanal des Netzes bestehen, was es den Kriminellen ermöglicht, die infizierten Computer weiterhin mit Instruktionen zu versorgen. Die Geldquelle der Ganoven sei von dem Eingriff kaum beinflusst worden.

Laut Microsoft soll das ZeroAccess-Botnetz monatlich 2,7 Millionen US-Dollar erwirtschaften. Beim Klickbetrug nutzen die kriminellen Drahtzieher infizierte Computer dazu, ohne das Wissen ihrer Besitzer auf Werbebanner zu klicken. Die Besitzer des Botnetzes nehmen dann Geld von den Werbetreibenden ein, ohne dass ein Nutzer je die entsprechenden Werbebanner gesehen hat.

Um das Botnetz auszuschalten, hatte Microsoft eine zivilrechtliche Klage vor einem Gericht in Texas gegen die Betreiber angestrengt und zusammen mit FBI und Interpol 49 IP-Adressen lahmgelegt, die der Kontrollinfrastruktur von ZeroAccess zugerechnet werden. Diese Kontrollserver versorgen die Bots mit Instruktionen, welche Werbebanner verdeckt anzuklicken sind. Damballa kritisiert die Aktion als ineffizient und gibt an, das Botnetz werde nun über ein Peer-to-Peer-Netz weiterhin mit Anweisungen versorgt. Den Schätzungen der Firma zufolge sind noch 62 Prozent der Kontrollserver aktiv. Also wäre die Aktion auch fehlgeschlagen, wenn das Botnetz kein Peer-to-Peer-Protokoll eingesetzt hätte.

Bereits vor einigen Monaten hatte Symantec versucht, ZeroAccess zu zerschlagen – eine Aktion, die nur begrenzt gelang. Schon zu diesem Zeitpunkt war in der Gemeinde der Sicherheitsforscher bekannt, dass die Entwickler des Botnetz-Codes an einer Peer-to-Peer-Variante arbeiteten und dass den Ganoven nicht durch die einfache Übernahme von Kontrollservern beizukommen ist. (fab)