Cutwail-Botnetz wieder aktiv

Das berüchtigte Cutwail-Botnetz (auch bekannt unter den Namen Pandex, Mutant und Pushdo) ist laut M86 Security offenbar reaktiviert: Der Sicherheits-Spezialist verzeichnete in den letzten Wochen mehrere Wellen von HTML-EMails, die mit bösartigen JavaScripts verseucht waren und aller Wahrscheinlichkeit nach von Cutwail-befallenen PCs stammen.

Cutwail erlebte seine "Glanzzeit" vor etwa fünf Jahren, als es mit 1,6 Millionen infizierten Rechnern die Liste aller Botnetz-Aktivitäten anführte. Es hatte seine Spitzenposition am Markt verloren, nachdem Hacker in das System eingebrochen waren und die Namen der Kunden sowie Partner veröffentlicht hatten.

Laut M86 Security war zwischen dem 23. und 25. Januar das Volumen verseuchter HTML-Emails um das Fünfzigfache angestiegen, drei Wellen ab dem 6. Februar erreichten sogar das 200-fache Volumen. Verseuchte EMails trugen beispielsweise den Betreff "FDIC Suspended Bank Account", "End of August Statement" oder "Scan from Xerox WorkCentre".

Das eingebettete JavaScript versucht, über diverse Sicherheitslücken Schadsoftware auf den Rechner zu laden, unter anderem auch über ältere Acrobat Reader. In einigen Fällen wurde ein datenausspähender Trojaner namens "Cridex" installiert. Das Botnetz verwendet das auf dem Spammer-Schwarzmarkt recht erfolgreiche "Phoenix Exploit Kit" und erzielt damit Infektionsquoten von über 15 Prozent. Anfang Januar wurden Details zu den Betreibern des Cutwail-Botnetzes bekannt. (cm)