Beebone: FBI und Europol legen Wurm-Netz lahm
Das interessante am ausgeschalteten Beebone-Botnetz ist der Schädling dahinter: Es handelt sich um einen Downloader, der anderen Unrat nachlädt, sich selber weiter verbreitet und dabei ständig mutiert.
Am 8. April haben europäische und US-amerikanische Polizisten einen gemeinsamen Schlag gegen das Beebone-Botnetz ausgeführt. Mit rund 12.000 infizierten Systemen gehört es nicht zu den großen seiner Art. Doch der auch als AAEH bezeichnete Schädling hat einige interessante Besonderheiten.
So ist seine Hauptaufgabe, andere Schad-Programme nachzuladen – also etwa Online-Banking-Malware wie Zeus, Erpressungs-Schädlinge wie Cryptolocker, Rootkits wie ZeroAccess, Passwort-Diebe und vieles mehr. Dazu verbreitet sich Beebone selbstständig über Netzwerke und über externe Medien wie USB-Sticks, die er gezielt infiziert. Dabei ändert er seinen Programmcode bei jeder Infektion und auch sonst alle zwei Stunden, um einer Entdeckung zu entgehen. Laut einer AAEH-Warnung des US-CERT gibt es mittlerweile über 2 Millionen Exemplare des Schädlings (Unique Samples). Experten sprechen von einem polymorphen Wurm.
Vom Wurm zum Trojaner zum Wurm
Früher waren sich selbst verbreitende Würmer recht üblich. So sorgten Blaster und Sasser vor mehr als zehn Jahren für Millionen infizierte Windows-Rechner. Heute verbreiten sich die üblichen Trojaner kaum noch selbst. Sie werden vor allem über Trojaner-Mails und Webseiten mit speziellen Exploit-Kits verteilt, die entweder die Anwender zur Mitarbeit überreden oder Sicherheitslücken ausnutzen.
Europol/EC3, FBI und einige Sicherheitsfirmen konnten offenbar die für die Kommunikation genutzten Command & Control Server unter ihre Kontrolle bringen. Dazu beschlagnahmten sie die vom Bot-Netz genutzten Domains. Damit kann der Botnetz-Master seine Zombie-Armee zwar nicht weiter nutzen, die von Beebone befallenen Rechner bleiben jedoch nach wie vor infiziert.
Aufspüren und Entfernen
AAEH/Beebone blockiert insbesondere Antiviren-Software beziehungsweise den Zugriff auf die Server der Hersteller. Deshalb bietet die Shadowserver-Foundation eine alternative, sichere Download-Quelle für spezielle Erkennungs- und Entfernungsprogramme von F-Secure, McAfee, Microsoft, Sophos, Trend Micro und Symantec (unklar ist, warum etwa Kaspersky auf dieser Liste fehlt). Am weitesten verbreitet ist BeeBone gemäß der Statistiken der Shadowserver Foundation in Peru, Iran und Kasachstan; deutschsprachige Länder tauchen in der Top-20-Liste nicht auf. (ju)
