FBot: Botnetz entfernt Krypto-Miner-Infektionen

Ein kurioses Botnetz entfernt einen bösartigen Krypto-Miner von Rechnern, die es befällt. Und löscht sich dann selbst.

In Pocket speichern vorlesen Druckansicht 56 Kommentare lesen
FBot: Botnetz entfernt Krypto-Miner-Infektionen

(Bild: Pixabay)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

FBot ist kein Botnetz wie viele andere: Hat der Trojaner einen Windows-Rechner infiziert, sucht es den Krypto-Miner com.ufo.miner und entfernt diesen vom befallenen System. Der Krypto-Miner schürft mittels eines Coinhive-Skriptes im Hintergrund heimlich die Kryptowährung Monero. Nachdem FBot den Übeltäter unschädlich gemacht hat, löscht der Trojaner sich selbst.

Momentan ist nicht klar, ob es sich hier um einen Racheakt gegen die Drahtzieher hinter com.ufo.miner oder um einen Programmierfehler im FBot-Code handelt. Oder ob ein Grey-Hat-Hacker zu viele Batman-Filme gesehen sah und sich entschied, das Problem selbst anzupacken. Interessant ist, dass der Trojaner mit seinem Command-and-Control-Server nicht über konventionelle DNS-Server kommuniziert, sondern ein Blockchain-basiertes DNS-Protokoll namens EmerDNS nutzt – dieses wird vom Blockchain-Diensteanbieter Emercoin betrieben.

Ansonsten hat FBot viele Merkmale mit dem Satori-Botnetz gemein. Entdeckt wurde der Trojaner von der chinesischen Sicherheitsfirma 360 Netlab. In einem Blog-Artikel fassen die Forscher ihre Erkenntnisse zu dem Trojaner zusammen. Obwohl FBot aktuell Dinge tut, die für die Besitzer der befallenen Rechner positiv sind, sollte man trotzdem im Hinterkopf behalten, dass auch das gut gemeinte kurzzeitige Infizieren fremder Rechner in den meisten Länder gegen geltendes Recht verstößt.

In der Vergangenheit hatten Sicherheits-Experten und die Vertreter von Anti-Viren-Herstellern immer wieder zur Diskussion gestellt, dass solche quasi-gutartigen Angriffe viele Infektionen beenden oder wenigstens eindämmen könnten. Bisher scheint der Konsens in der Security-Gemeinde allerdings zu sein, dass solche Eingriffe in die Hoheit eines Anwenders über sein System zu weit gehen. (fab)