"Bitte nehmt das Sality-Botnetz nicht vom Netz"

Mit einer ungewöhnlichen Bitte hat sich ein Nutzer einer Mailingliste für Sicherheitsexperten an die Community gewandt. Damit will er jedoch genau das Gegenteil erreichen.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Auf der Mailingliste Full Disclosure, auf der sich vornehmlich Sicherheitsexperten austauschen, hat sich am gestrigen Dienstag ein Nutzer mit dem Pseudonym lawabidingcitizen ("Gesetzestreuer Bürger") mit einer ungewöhnlichen Bitte an die Security-Community gewandt: "Bitte nehmt das Sality-Botnetz nicht vom Netz". Er habe durch seine Analyse eine Methode gefunden, die Zahl der infizierten Rechner dramatisch zu reduzieren. Allerdings verstoßen diese Aktionen gegen Gesetze. Trotzdem lässt er es sich nicht nehmen, die Vorgehensweise recht detailliert zu beschreiben und spezielle Tools dafür zu veröffentlichen.

Im Wesentlichen läuft es darauf hinaus, die Nachladefunktion der Botnet-Clients zu missbrauchen, um den Zombies ein Reinigungstool unterzuschieben, mit dem sie sich selbst entfernen. Eine entsprechend angepasste Version des Sality-Removal-Tools von AVG hat er gleich mit veröffentlicht. Darüber hinaus hat lawabidingcitizen ein Python-Skript entwickelt, das eine Liste mit URLs ausgibt, die derzeit zur Aktualisierung des Bot-Codes genutzt werden. Bei einem Test von heise Security hat das Skript tatsächlich URLs angezeigt, die Schadcode verteilen. Virenscanner wie Avast, G Data und Ikarus erkannten darin die mit Sality in Verbindung stehende Malware Win32.Elderado.

Wie die Dateien auf den Server ersetzt werden, geht aus dem Material nicht hervor. Da man davon ausgehen kann, dass der Bot-Code von löchrigen Webseiten verbreitet wird, deren Betreiber noch nichts davon mitbekommen haben, ist es durchaus wahrscheinlich, dass die zum Einschleusen genutzten Lücken nach wie vor vorhanden sind – und sie auch dazu eignen, den Schadcode mit dem Removal-Tool zu überschreiben.

Sality gilt laut dem Gefahrenbericht von Kaspersky (2011/2012) als einer der verbreitetsten Schädlinge. Der Bot soll unter anderem zum Spam-Versand und dem Diebstahl von Passwörtern genutzt werden und sich direkt mit anderen infizieren Systemen austauschen können.

Die Diskussion, ob man Botnetze mit ihren eigenen Waffen schlagen darf, ist nicht neu. Wie weit wir davon entfernt sind, zeigt der Fall DNS-Changer: Obwohl die Behörden den Datenverkehr der infizieren Rechner kontrollieren könnten, machen sie nicht von der Möglichkeit Gebrauch, die Opfer auf eine Informationsseite umzuleiten, die sie über den Virenbefall aufklärt. Das BSI etwa setzt ganz auf den "willentlichen Akt der Nutzer, ihr System zu überprüfen", wie BSI-Sprecher Matthias Gärtner gegenüber heise Security sagte. (rei)