Nach BKA-Einsatz: ZeroAccess-Botnetz streicht die Segel

Die Drahtzieher hinter dem ZeroAccess-Botnetz schwenken die virtuelle weiße Fahne. Nach weiteren Aktionen der Strafverfolgungsbehörden haben sie das Bot hüten anscheinend vorerst aufgegeben.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Nachdem es kurzzeitig so schien, als hätte sich das ZeroAccess-Botnetz gut von der koordinierten Aktion gegen seine Steuer-Infrastruktur erholt, haben die Drahtzieher nun wohl die Kontrolle über die Bots aufgegeben, wie Microsoft berichtet. Sie deaktivierten die Klickbetrug-Komponente des Schadcodes - und übermittelten eine virtuelle "weiße Flagge".

Microsofts Digital Crimes Unit, das FBI und Interpol hatten am Anfang des Monats in Texas einen Gerichtsbeschluss erwirkt, mit dem eine Reihe von Domains zur Kontrolle des Bot-Netzes aus dem Verkehr zu ziehen. Allerdings blieb die Peer-to-Peer-Kommunikation der Botnetz-Drohnen untereinander intakt und die Ganoven konnten weiterhin mit dem Botnetz ihr Unwesen treiben, wie die Sicherheitsfirma Damballa kritisierte.

Jetzt vermeldet Microsoft eine Kapitulation der Botnetz-Betreiber. Microsoft hatte offenbar die Aktivitäten des Botnetzes weiterhin beobachtet und dabei neue IP-Adressen registriert, von denen kriminelle Aktivitäten ausgingen. Diese wurden daraufhin von der European Cybercrime Centre bei Europol unter Leitung der Cybercrime Intelligence Unit des BKA zurückverfolgt. Daraufhin folgte eine Phase der Inaktivität und schließlich ein letztes Update, das an die infizierten Rechner geschickt wurde. In diesem entdeckten die Microsoft-Experten den Text "WHITE FLAG". Seither wurde keine Aktivität des Bot-Netzes mehr beobachtet. Das interpretiert Microsoft als Kapitulation, feiert die Arbeit als Erfolg und lobt die "effektive Zusammenarbeit im Kampf gegen Cybercrime".

Microsoft erklärt jedoch nicht, was dieses letzte Update auf den infizierten Rechnern tatsächlich bewirkt hat. Insbesondere ist keine Rede davon, dass sich die Schad-Software selbst gelöscht hätte oder zumindest die P2P-Kommunikation deaktiviert wäre. Man kann also nicht ohne weiteres davon ausgehen, dass das Bot-Netz tatsächlich lahm gelegt und nun kein weiterer Missbrauch der infizierten Rechner mehr möglich ist. Manos Antonakakis von Damballa erklärte gegenüber heise Security jedenfalls, dass so weit er das sehen kann, die Peer-to-Peer-Kommunikation noch immer intakt sei. Er hält ZeroAccess für eine Bedrohung, so lange dieses P2P-Netz funktioniert. (fab)