213894

Waledac-Botnet größer als angenommen

07.01.2010 | 14:58 Uhr |

Deutsche Sicherheitsforscher haben das Waledac-Botnet mit einem nachgebauten Bot infiltriert und analysiert. Sie haben dabei einiges über dessen Aufbau und die eingesetzten Methoden erfahren.

Verteilung aktiver Waledac-Bots
Vergrößern Verteilung aktiver Waledac-Bots
© 2014

Der Schädling Waledac gilt als Nachfolger des so genannten Sturm-Wurms . Es gibt eine Reihe von Übereinstimmungen und Ähnlichkeiten zwischen beiden Schädlingen und ihren Botnets. Forscher der Universitäten in Mannheim und Wien haben das Waledac-Botnet untersucht und dabei entdeckt, dass die Betreiber mehr vorhaben als Spam zu versenden.

Die Forscher um Thorsten Holz haben eine abgespeckte Version ("Walowdac") des Waledac-Bot programmiert, die zwar mit dem Botnet kommuniziert, sich jedoch an keinerlei schädlichen Aktivitäten beteiligt. Wie Holz im Honeyblog berichtet, haben sie dabei etwa festgestellt, dass dieses Botnet größer zu sein scheint als sie erwartet hatten. Im Schnitt seien täglich etwa 55.000 Bots aktiv und insgesamt könnte das Botnet etwa 390.000 gekaperte Rechner weltweit umfassen.

Das Botnet funktioniert mit einer teilweise dezentralisierten P2P-Kommunikationsstruktur, die aus wenigstens vier Ebenen besteht. Es gibt mutmaßlich ein Mutterschiff, das jedoch nicht zu lokalisieren war. Die Backend-Server der zweiten Ebene fungieren als Proxy und sind perfekt synchronisiert, was die Annahme eines Mutterschiffs unterstützt.

Die dritte Ebene bilden so genannte Repeater, die als Vermittler zwischen Backend-Servern und der vierten Ebene fungieren. Letztere besteht aus den Spammern, also Spam-versendenden Bots, sowie dem nicht infizierten Rest der Online-Welt.

Bei der Untersuchung des Waledac-Botnet im August 2009 haben die Forscher außerdem entdeckt, dass Waledac nicht nur Spam verbreitet, sondern neuerdings auch Anmeldedaten auf den verseuchten Rechnern ausspioniert. Die komplette Analyse finden Sie als PDF-Dokument in englischer Sprache auf der Honeyblog-Website.

0 Kommentare zu diesem Artikel
213894