zurück zum Artikel

Mitte März hat Microsoft die Command & Control-Server des Rustock-Botnets abschalten lassen. Jetzt veröffentlichen die Redmonder erstmals eine Statistik, wie viele Zombie-PCs noch im Web unterwegs sind.

Erst knapp die Hälfte aller einstmals 1,6 Millionen mit dem Rustock-Bot infizierten Rechner ist clean. Das ist das Ergebnis der aktuellen Beobachtungen von Microsoft mit Hilfe sogenannter Sinkholes.

Mit einem juristischen Trick ging Microsofts Digital Crimes Unit (DCU) im März gegen die Command & Control-Infrastruktur von Rustock vor [1]. Festplatten bei Providern wurden beschlagnahmt, Domains stillgelegt beziehungsweise übereignet. Damit war der laut Symantec seinerzeit größte Spam-Versender kopflos, der Spamversand brach ein.

Der eigentliche Schädling blieb jedoch auf knapp 1,6 Millionen PCs weltweit zurück, wie aus einer jetzt von Microsoft veröffentlichten Statistik hervorgeht [2]. Er konnte nur keine Kommandos mehr empfangen, sodass die Bots zur Tatenlosigkeit verdammt blieben. Gefährlich sind die Überbleibsel dennoch: Würde es einem Bot-Herder gelingen, eine neue kompatible C&C-Infrastruktur aufzuziehen, könnte er das Zombie-Netz reaktivieren. Derzeit leiten die Provider die Kommunikation der Bots auf Sinkhole-Domains um, sodass die Bots Verbindung zu einem harmlosen Server aufnehmen. Damit lässt sich verhindern, dass die Bots neue Befehle entgegennehmen und gesammelte Daten abliefern können.

Auch vier Monate nach dem Zugriff sind es nach wie vor über 700.000 Zombie-PCs weltweit. Indien liegt mit zirka 100000 Rustock-Infektionen nach wie vor auf Rang eins, wobei dies immerhin fast 70 Prozent weniger sind als noch Ende März. Warum ausgerechnet in Indien die meisten Rustock-Infektionen zu finden sind, konnte eine Microsoft-Sprecherin auf Nachfrage nicht beantworten. In Deutschland ging die Zahl der Zombies von 44.000 auf 25.000 zurück.

Die Zahlen belegen, wie schwer sich die Beteiligten tun, infizierte PCs gründlich zu säubern. Eine Desinfektion aus der Ferne ist in den meisten Ländern aus rechtlichen Gründen unmöglich. Die Internetprovider können die betroffenen Anwender lediglich informieren und auf deren Mithilfe hoffen. In einem größerem Rahmen hat sich bislang nur das FBI an einer Desinfektion aus der Ferne beim Coreflood-Botnetz versucht [3].

Selbst Microsofts eigene Aufräumwerkzeuge wie das Malicious Software Removal Tool (MSRT) helfen nur bedingt: Zwar erkennt MSRT die Rustock-Dateien und entfernt sie auch. Allerdings muss der Anwender das Tool selbst aktivieren. (dab [4])

URL dieses Artikels:
https://www.heise.de/-1274507

Links in diesem Artikel:
[1] https://www.heise.de/news/Rustock-Botnetz-ausser-Gefecht-1210310.html
[2] http://blogs.technet.com/b/microsoft_blog/archive/2011/07/05/microsoft-releases-new-threat-data-on-rustock.aspx
[3] https://www.heise.de/news/US-Behoerden-wollen-Coreflood-Bot-von-Rechnern-loeschen-1234752.html
[4] mailto:dab@ct.de

Copyright © 2011 Heise Medien