Botnetz wiederauferstanden

Srizbi, eines der größten bekannten Botnetze, erstarkt offenbar gerade wieder, nachdem seine Bots vor rund zwei Wochen nach dem Abschalten des US-amerikanischen Webhosters McColo den Kontakt zum Kontroll-Server verloren hatten. Die Bots haben nach dem Wegfall ihrer Hauptkommunikationswege auf eine Art Notfallkommunikation umgeschaltet und nehmen nun nach Analysen des Sicherheitsdienstleister FireEye Kontakt mit Domains auf, deren Namen sie über einen speziellen Algorithmus berechnen.

Mit Kenntnis des Algorithmus ist es den sogenannten Bot-Herdern möglich, die Domains rechtzeitig zu registrieren und einen darunter erreichbaren Kontrollserver zu installieren. Alle 72 Stunden errechnen die Bots vier "Notfall-Domains". FireEye hat den Algorithmus nach eigenen Angaben entschlüsselt und eine Zeit lang die Domains für sich registriert, um zu verhindern, dass die Kriminellen Zugriff auf die Domains erhalten.

Dieses Unterfangen war aufgrund der vielen generierten Domains aber wohl so kostspielig – rund 4000 US-Dollar pro Woche – dass man gezwungen war, dies einzustellen. Kurz darauf seien die Domains wieder von den Bot-Herdern registriert worden.

FireEye wäre nach eigenen Angaben in der Lage gewesen, den Bots zu befehlen, sich von infizierten Systemen zu löschen. Allerdings habe man Bedenken gehabt, damit möglicherweise Schäden auf PCs anzurichten und daher davon abgelassen. Aus dem Srizbi-Botnetz stammen Schätzungen zufolge 40 Prozent des weltweiten Spams. Rund eine halbe Million PCs sollen mit 50 Varianten von Srizbi-Bots infiziert sein. Nach dem zwischenzeitlichen Abflauen der Spam-Mails tritt also leider wieder der "Normalzustand" ein.

Siehe dazu auch:

• Srizbi Botnet Re-Emerges Despite Security Firm's Efforts, Meldung von Brian Krebs/Washington Post

(dab)