38714

Spam-Bots sind wieder auferstanden

28.11.2008 | 14:59 Uhr |

Nachdem das Abklemmen eines Spammer-freundlichen Providers vorübergehend für ein Nachlassen der Spam-Flut gesorgt hat, sind die Botnet-Betreiber auf der Jagd nach neuen Opfern und spammen auch schon wieder.

Das "Srizbi"-Botnet ist als eines der ersten wieder aus der Versenkung gekrochen und verbreitet erneut Spam in Massen. Es zählt seit geraumer Zeit zu den größten Spam-Botnets weltweit. Als dem allzu Spammer-freundlichen Provider McColo vor zwei Wochen seine Internet-Anbindung gekappt wurde, standen mehrere 100.000 gekaperte PCs plötzlich ohne Mutterschiff da. Die Kommando-Server der Botnet-Betreiber waren offenbar zum großen Teil über McColo angebunden und auf einen Schlag offline. Zwischenzeitlich haben die Srizbi-Hirten ihre Zombie-Herden zumindest teilweise über Estland gesteuert.

Das Srizbi-Botnet verfügt über einen Plan B für derartige Fälle. Fengmin Gong vom kalifornischen Sicherheitsunternehmen FireEye hat den Code der Srizbi-Bots auseinander genommen und einen Algorithmus entdeckt, der in einem Drei-Tage-Rhythmus Domain-Namen generiert . Wenn die Kommando-Server des Botnets nicht erreichbar sind, versuchen die Bots Kontakt mit diesen Domains aufzunehmen. FireEye hat nach dieser Entdeckung über mehrere Tage etliche hundert Domain-Namen registriert, um die Srizbi-Hirten davon abzuhalten, wieder Kontrolle über ihre Botnets zu erlangen.

Doch bald wurde FireEye die Sache zu teuer. So konnte die Srizbi-Bande im nächsten Zyklus fünf Domain-Namen registrieren, über die Ihre Kommando-Server sogleich wieder für die Zombie-PCs erreichbar wurden. Nachdem alle Bots wieder einmal aktualisiert werden konnten, lautete die nächste Order an die Zombie-Armee Spam zu versenden, zunächst an russische Empfänger. Die aktualisierte Bot-Malware enthält fest verdrahtete Adressen der estnischen Kommando-Server.

Das ist jedoch nicht lange gut gegangen, denn Estland hat schnell reagiert und die neuen Verbindungen nach kurzer Zeit wieder gekappt. Nur ein Kommando-Server in Frankfurt am Main war gestern noch aktiv. So ist eine größere Spam-Flut zumindest vorerst verhindert worden.

Das weltweite Spam-Aufkommen ist seit dem schlagartigen Absinken wieder angestiegen, was allerdings nur bedingt auf das Srizbi-Botnet zurück zu führen ist. Auch das Rustock-Botnet spammt schon wieder munter drauf los. Rustocks Kommando-Server waren ebenfalls bei McColo zu Hause. Als McColo am Nachmittag des 15. November (ein Samstag) noch einmal für wenige Stunden ans Netz gehen konnte, gelang es der Rustock-Gang ihre Bots zu aktualisieren. So kamen sie schon früher wieder ins Geschäft und steuern ihre Zombie-Herden nun über russische Provider.

Auch andere Botnets dürften bald wieder aktiv werden. Es ist also davon auszugehen, dass demnächst wieder deutlich mehr Spam in unser aller Mailboxen schwappen wird. Nachdem der Fall McColo gezeigt hat, wie man es machen muss, verstärken allerdings Sicherheitsunternehmen, Behörden und Malware-Forscher ihre gemeinsamen Anstrengungen, um das Problem nachhaltiger einzudämmen.

0 Kommentare zu diesem Artikel
38714