Microsoft führt Schlag gegen Nitol-Botnetze

Microsoft ist es offenbar gelungen, eine wichtige Domain der "Nitol"-Botnetze auszuheben. Laut Angaben im Unternehmensblog erteilte ein US-Bundesgericht des Staates Virginia am 10. September die Erlaubnis, dass Microsoft die Domain übernehmen darf. Vermutet wird, dass sich der Virus unter anderem über unsichere Distributionsketten verbreitete, bei der Cyberkriminelle offenbar gefälschte, bereits infizierte Windows-Software auf fabrikneuen Rechner einschleusen konnten.

In der im August 2011 begonnenen "Operation b70" (PDF-Datei) hatte das Sicherheitsteam von Microsoft zunächst Testkäufe in verschiedenen chinesischen Städten getätigt und auf den neuen Rechnern Infektionen entdeckt. Unter anderem fand sich auf einem Rechner auch der "Nitol"-Virus, der infizierte Rechner für DDoS-Attacken missbraucht und über USB-Speicher auf andere Rechner übertragen werden kann.

Die Analyse des Virus führte zur Domain 3322.org, die laut Microsoft bereits seit 2008 Ausgangspunkt zahlreicher illegaler Aktivitäten gewesen sein soll. Neben einem Command-and-Control-Server von Nitol fanden sich hier über 500 Arten von Malware, die auf 70.000 Subdomains gehostet wurden. Dazu gehörte Schadsoftware, die es den Kriminellen erlaubte, auf Kameras und Mikrofone eines Rechners zuzugreifen, ebenso wie Programme zum Ausspionieren von Tastatureingaben.

Mit der richterlichen Erlaubnis werden die Adressen der Domain derzeit auf von Microsoft neu eingerichteten DNS-Servern aufgelöst. So sollen Operationen des Nitol-Netzes sowie der 70.000 verdächtigen Subdomains unterbunden werden, wobei die legitimen Subdomains nicht beeinträchtigt werden. (axk)