Aufgedeckt: Trojaner als Spam-Roboter
c't ist der Nachweis gelungen, dass Virenschreiber die Adressen von mit Trojanern infizierten Rechnern gegen Bezahlung an Spammer weitergeben.
c't ist der Nachweis gelungen, dass Virenschreiber die Adressen von mit Trojanern infizierten Rechnern gegen Bezahlung an Spammer weitergeben. Diese nutzen die befallenen Systeme, um -- von den Besitzern der Rechner unbemerkt -- illegal Werbemails zu verteilen. Außerdem haben die Virenverbreiter mit ihrem Netzwerk aus Trojanern eine wirkungsvolle Waffe in der Hand, um etwa verteilte DoS-Attacken zu fahren.
Ein Informatik-Student hat gemeinsam mit c't die Urheber eines Computer-Virus aufgespürt. Der Redaktion gelang es, mit den Virenverbreitern in Kontakt zu treten und IP-Adressen infizierter Rechner zu kaufen. Weil einer der Virenverbreiter in Großbritannien lokalisiert wurde, hat c't sämtliche Informationen an New Scotland Yard weitergeleitet. Mittlerweile ist es bereits in mehreren Ländern zu Festnahmen gekommen.
In dem Fall wurde mit Hilfe des Virus "Randex" ein so genannter Trojaner auf tausenden Rechnern installiert. Das kleine Programm nahm über das Chat-Protokoll IRC Kontakt zu seinem "Master" auf. Es empfing von ihm Befehle wie etwa, nach CD-Keys von Spielen zu suchen, SYN-Flood-Attacken vom infizierten System aus zu starten oder unbemerkt weitere Software nachzuladen. So installierte der Trojaner beispielsweise auch einen SOCKS-Proxyserver, der zur Weiterleitung von Spam über die befallenen PCs genutzt wurde. Der Virus verbreitet sich über den Windows-Verzeichnisdienst insbesondere in Sub-Netzen weiter.
Ein ermittelnder Officer von Scotland Yard kommentierte im Gespräch mit c't: "Wir befürchten, dass dies erst der Anfang war. Schon im vorliegenden Fall verrichten die Autoren und Verbreiter der Viren ihr Werk längst nicht nur noch aus Spaß oder Geltungssucht. Die Szene professionalisiert sich und hat erkannt, wie viel Geld hier leicht zu ergaunern ist."
Einen Bericht über die Recherche brachte die jüngste Sendung von c't magazin.tv. Eine detaillierte Beschreibung der Ereignisse finden Sie in der aktuellen c't-Ausgabe (ab Montag, den 23. Februar, im Handel):
- Ferngesteuerte Spam-Armeen, Nachgewiesen: Virenschreiber liefern Spam-Infrastruktur, c't 5/04, S. 18
An [ticker:44879 English version] of this news article is available at heise online, and at Groklaw with additional reporting about a suit against spammers -- in one of the cases mentioned in the suit, a zombie computer was used to send spam. (jk)