Phatbot-Autor richtete großen Schaden an

Der vor einer Woche festgenommene mutmaßliche Phatbot-Entwicker Axel G. respektive "Ago" war mit dem Programmieren des Trojaners offensichtlich nicht ausgelastet.

In Pocket speichern vorlesen Druckansicht 366 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Holger Bleich

Der vor einer Woche festgenommene mutmaßliche Phatbot-Entwicker Axel G. respektive "Ago" war mit dem Programmieren des Trojaners offensichtlich nicht ausgelastet. Ihm blieb Zeit für vielfältige Aktivitäten, etwa Einbrüche in fremde Systeme. Nach Recherchen von heise online war "Ago" maßgeblich am spektakulären Quellcode-Diebstahl des PC-Spiels Halflife 2 beteiligt. Indizien für seine Mitwirkung finden sich sogar in öffentlich zugänglichen Chatlog-Dateien.

Im September 2003 war der von Servern des US-amerikanischen Halflife-Herstellers Valve geklaute Code im Internet veröffentlicht worden. Valve hat das lang erwartete Spiel bis heute nicht in den Verkauf geben. Als Grund dafür wird angegeben, dass der Sourcecode nicht nur die wichtigsten Grundlagen und Softwaretechniken verriet, sondern auch Cheatern, die sich Vorteile gegenüber anderen Spielern in solchen Multiplayer-Games verschaffen wollen, einen ungewollten Wissenssprung verschaffte. Nach Informationen von heise online bezifferten US-amerikanische Ermittlungsbehörden den entstandenen Schaden auf mehr als 100 Millionen US-Dollar.

Auch deutsche Unternehmen erwägen, Schadensersatzforderungen gegen Axel G. zu formulieren. Der Karlsruher Provider Schlund&Partner beispielsweise wurde Opfer eines Phatbot-Testlaufs: "Seit Ende Februar hatten wir eine stark wachsende Anzahl von HTTP-Post-Anfragen auf unsere Unternehmensadressen schlund.net und einsundeins.de festgestellt", sagte Firmensprecher Andreas Maurer heise online. "Diese Anfragen kamen nicht von einem Browser, und ihre Struktur hat stark auf den Phatbot/Agobot-Wurm hingewiesen." Jeder Request enthielt 200 KByte nutzloser Daten. Im Nachhinein stellte sich heraus, dass Phatbot auf diese Weise mit einem so genannten "Speed-Test" die Internet-Bandbreite des Wirts ermittelt, den er infiziert hat.

Schlund war es ziemlich schnell gelungen, die Phatbot-Requests auszufiltern. "Hätten wir unsere Web-Server nicht gepatcht, wären durch die Request alleine im März etwa drei Terabyte an eingehendem Datenmüll aufgelaufen", so Maurer. Der Provider verzeichnete entsprechende HTTP-Anfragen von rund 750.000 verschiedenen IP-Adressen. Mindestens so viele PCs sind also von den Würmern Agobot3 oder Phatbot bereits infiziert. Virenexperten schätzen die Zahl der befallenen Systeme sogar auf weit über eine Million.

Schlund ließ es nicht auf dieser Erkenntnis beruhen. "Stutzig gemacht hat uns, dass es unter den IPs ein von uns gehosteter Linux-Rootserver war, von dem ein Windows-Wurm kommen sollte", berichtete Maurer. "Wir haben von dem betroffenen Kunden die Erlaubnis bekommen, uns seinen Rechner anzuschauen. Dort haben wir den aktuellen Quelltext des Agobot3-Wurms sowie weitere Informationen gefunden, die darauf hindeuteten, dass der Wurm von diesem System verbreitet wurde." Schlund übermittelte die gesammelten Daten schließlich der Kriminalpolizei und erstattete eine Anzeige gegen unbekannt. (hob)