Und es hat Boom gemacht: Botnetz zerstört sich selbst
Anfang April hat sich ein rund 100.000 PCs umfassendes Botnetz selbst zerstört - indem der Steuerserver einen Befehl zum Unbrauchbarmachen von Windows aussendete. Ob dies gewollt oder aus Versehen geschah, ist unklar.
- Daniel Bachfeld
Wie erst jetzt bekannt wurde, soll sich ein vermutlich rund 100.000 PCs umfassendes Botnetz Anfang April selbst zerstört haben – indem der Steuerserver einen Befehl zum Unbrauchbarmachen von Windows aussendete. Das Botnetz beruhte auf ZeuS, einem nur mehrere hundert Dollar kostenden Botnet-Toolkit, mit dem Kriminelle die PCs von Anwender infizieren und sie später aus der Ferne kontrollieren können.
Sobald eine Drohne einen Kill-Befehl vom Server erhält, löscht sie nach Analysen der Spezialisten von S21sec die Windows-Registry-Pfade HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\Software und HKEY_LOCAL_MACHINE\System. Anschließend überscheibt die Drohne den virtuellen Speicher von Windows mit Nullen. In der Folge wird das Betriebssystem unbrauchbar.
Neu sind solche Selbstzerstörungsfunktionen in Bots und insbesondere in Banking-Trojanern wohl nicht. Gerade bei Banking-Trojanern dient der Mechanismus dazu, das Opfer nach dem Diebstahl von Bankzugangsdaten und/oder PINs und TANs vom Internet abzuschneiden, damit es keine weiteren Kontobewegungen mehr online verfolgen kann. Zudem können Kriminelle die Spuren ihrer Aktivitäten zumindest teilweise verwischen – obwohl etwa die Binaries der Schädlinge oft auf dem Rechner verbleiben.
Über die Gründe für die nun vollständige Selbstzerstörung gibt es unterschiedliche Vermutungen. Möglicherweise wurde der ZeuS-Steuerserver von einer feindlichen Bande übernommen. Allerdings beruhen die Angaben zur Zerstörung bislang allein auf Beobachtungen des schweizerischen Anti-Spam-Aktivisten Roman Hüssy, der die Seite ZeusTracker zur Überwachung mehrerer ZeuS-Steuerserver verschiedener Banden betreibt. Nach seinen Angaben beobachtete er, wie ein vom ihm überwachter Zeus-Server am 8. April den Kill-Befehl an die 100.000 Bots aussendete. Gegenüber US-Medien äußerte Hüssy die Vermutung, dass die Betreiber das eigene Netz vielleicht aus Versehen zerstörten. Oftmals handele es sich bei den Betreibern nicht um besonders ausgebildete oder befähigte Personen. (dab)
