Abschaltversuch des Dorkbot-Botnetzes

Mehr als 1 Million Rechner sind weltweit durch Malware aus der Win32/Dorkbot-Familie infiziert. Nun gab es wieder einen Versuch, dieses Botnetz auszuheben und die Control-Server abzuschalten.

Ich habe die Info über ESET erhalten (auf denen ich den nachfolgenden Text aufgebaut habe). Aber auch bei microsoft-news.com findet sich dieser Artikel, der wohl auf eine Info von Microsoft zurückgeht. Aber Achtung, die schreiben von einem Darkbot-Netz, welches “abgeschaltet” worden sei. Ganz so ist es wohl nicht. Bei n-tv habe ich im Rahmen der Recherche einen weiteren Artikel zum Thema gefunden, der etwas akkurater ist.

Gemeinsame Aktion gegen das Botnetz

Fakt ist, dass es eine konzertierte Aktion von Sicherheits-Experten diverser Firmen, u.a. ESET und Microsoft, sowie Behörden aus der ganzen Welt (z.B. FBI, Homeland Security etc.) gab. Das Botnet, das bereits unzählige PCs in mehr als 200 Ländern infiziert hat, konnte durch diese kombinierte Kollektiv-Gegenoffensive effektiv gestört werden.

Die Aktion wird länderübergreifend von zahlreichen Behörden getragen – an der Spitze das FBI, Interpol und Europol. Ziel ist die Eliminierung der Dorkbot-Infrastruktur, zu der auch Command and Control-Server (C&C) in Asien, Europa und Nordamerika zählen. Im Zuge der Operation wurden ebenfalls diverse Domains aus dem Verkehr gezogen. Damit wurden die Möglichkeiten der kriminellen Drahtzieher des Botnets erheblich vermindert, Kontrolle über die Rechner ihrer Opfer auszuüben.

Alter Bekannter zeigt sich wandlungsfähig

Dorkbot ist ein weit verbreitetes Botnet auf Basis von Win32/Dorkbot-Malware und ist bereits seit einigen Jahren in ständig wandelnder Form aktiv. ESET verfolgt die Ausbreitung des Botnetzes sowie die veränderte Struktur der Schadsoftware in den weltweiten Virenlaboren und hat aktuelle Entwicklungen bereits mehrmals auf seinem Security-Blog WeLiveSecurity aufgegriffen. Nachfolgende Grafik zeigt die HeatMap des Microsoft Security-Portals mit der Ausbreitung der Schadsoftware.


(Quelle: Microsoft)

 

Vor allem beim Öffnen von unbekannten Dateien, die sich auf Wechseldatenträgern befinden oder über E-Mails und soziale Netzwerke verschickt werden, sollten Nutzer vorsichtig sein. Das Botnet verbreitet sich über unterschiedliche Kanäle, zum Beispiel über soziale Netzwerke, Spam-Mails, Wechseldatenträger und Exploit Kits.

Ist die Malware einmal installiert versucht sie, die Security-Software auf dem infizierten Rechner zu stören, indem der Zugang zu den Update-Servern blockiert wird. Anschließend nimmt Dorkbot Kontakt zu einem IRC-Server auf, von dem weitere Befehle folgen.

Malware späht Passwörter aus

Dabei stiehlt Dorkbot nicht nur Passwörter bei weit verbreiteten Online-Diensten wie Facebook und Twitter. Typischerweise installiert es auch den Code von einer oder mehreren Malware-Stämmen, nachdem es die Kontrolle über das System übernommen hat. Dazu gehören in erster Linie Win32/Kasidet, eine Malware speziell für DDoS-Attacken (auch als „Neutrino Bot“ bekannt) sowie Win32/Lethic, ein bekannter Spambot.

Kostenloader Dorkbot Cleaner von ESET

Derzeit erkennen die Security-Produkte von ESET (und wohl auch anderer Hersteller – Microsoft listet Win32/Dorkbot im Malware Protection Center auf) tausende unterschiedliche Varianten der Dorkbot-Module, die zusammen mit verschiedenen Malware-Arten über das Botnet verbreitet werden. ESET beobachtet wöchentlich tausende Fälle von Neuinfektionen durch Dorkbot.

Wer als Nutzer den Verdacht hegt, dass sein System von Dorkbot befallen sein könnte, kann seinen Rechner mit dem kostenlosen Dorkbot Cleaner von ESET gründlich scannen lassen. Um es gar nicht erst so weit kommen zu lassen, ist eine aktive Security-Software Pflicht. Antiviren-Lösungen von ESET schützen die Anwender vor allen bekannten Varianten der Dorkbot-Module.

Dieser Beitrag wurde unter Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Abschaltversuch des Dorkbot-Botnetzes

  1. deo sagt:

    Ich finde, es ist egal, welche Antivirensoftware man benutzt. Natürlich ist die Aktion eine willkommene Werbung für MS und Eset, wobei die auch nicht unbedarfte Anwender vor sich selbst schützen können. Die Adventszeit ist wieder mal richtig heftig, was Spam betrifft. Anstatt unter 10 Spams pro Tag, filtert gmx.de bei mir 50-60 Spams aus und die ist teilweise sehr gut gemacht. Das dauert schon etwas, um sie zu sichten, denn ich will keine reguläre Mail verpassen, die aus Versehen hängen geblieben ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert