Weltumspannendes Botnetz stillgelegt

Verschiedene Strafverfolgungsbehörden und private Sicherheitsfirmen haben das Botnetz Simda stillgelegt. Zuletzt sollen 770.000 Computer zum Botnetz gehört haben. Infizierte Rechner wurden an Kriminelle verkauft. Dabei habe das Botnetz aus 190 Ländern operiert; mit 22 Prozent führte die USA die Liste der Länder mit infizierten Computern an. Das berichtet der Anbieter von Sicherheitssoftware Kaspersky Lab.

Für die Abschaltung des Botnetzes Ende vergangener Woche zeichnen mehrere Parteien verantwortlich. Darunter befinden sich etwa Firmen wie Microsoft, Kaspersky Lab und Trend Micro, aber auch das FBI war mit von der Partie. Die Operation fand zeitgleich über mehrere Ländern verteilt statt und Behörden beschlagnahmten dabei 14 Command-und-Control-Server des Botnetzes.

Beim Kapern von PCs gingen die Betreiber anscheinend äußerst effizient vor, denn im letzten halben Jahr sollen im Monat 128.000 neue Computer infiziert worden sein. Zudem habe sich die Backdoor alle paar Stunden angepasst, um Antiviren-Programmen stets einen Schritt voraus zu sein.

Um Computer zu infizieren, setzten die Betreiber etwa auf Sicherheitslücken in Java, Flash und Silverlight. Opfer wurden mit Phishing-Mails geködert und dazu verleitet Schadcode zu installieren. Dieser modifizierte die Hosts-Datei von Windows und leitete Besucher von Webseiten heimlich auf Server des Botnetzwerkes um. Von dort konnte dann weiterer Schadcode auf die Rechner geschleust werden. In vielen Fällen sollen die Veränderungen in der Hosts-Datei auch nach dem Entfernen der Backdoor bestehen bleiben. Wer die Hosts-Datei prüfen will, findet diese in der Regel unter %SYSTEMROOT%\system32\drivers\etc\hosts. Kaspersky Lab wartet ferner mit einem Test auf. Dieser funktioniert aber nur zuverlässig, wenn sich die IP-Adresse nach der Infektion nicht verändert hat. (des)