155480

Neue Botnets rücken nach

15.01.2009 | 15:44 Uhr |

Nachdem einige der bekannten großen Botnets im Laufe des letzten Jahres an Bedeutung verloren haben, füllen neue Botnets die entstandene Lücke. Darunter ist auch eines, das als Nachfolger des Sturm-Botnet angesehen wird.

Bereits seit September 2008 hat man nichts mehr vom so genannten Sturm-Wurm gehört, das Abklemmen des Spammer-Providers McColo hat das Ende weiterer großer Botnetze eingeläutet, das Spam-Aufkommen sank vorübergehend um mehr als die Hälfte. Inzwischen füllen andere Botnets wie "Xarvester", "Donbot" oder "Waledec" die Lücke, das Spam-Volumen hat fast schon wieder das Niveau von Oktober 2008 erreicht.

Joe Stewart, Leiter der Malware-Forschung bei SecureWorks , hat die Profiteure des McColo-Endes untersucht. Länger bekannt Botnets wie "Cutwail" (auch als "Pushdo" bekannt) und "Rustock" haben sich, im Gegensatz zu anderen, von diesem Schlag wieder halbwegs erholt und sich neu aufgestellt. Cutwail soll laut Stewart jetzt etwa 175.000 Zombie-PCs kontrollieren, Rustock noch etwa 130.000.

Mit "Donbot" ist ein bislang noch nicht so bekannter Name auf dem Weg nach oben. Dessen Botmaster haben bereits mehr als 125.000 Rechner unter seiner Kontrolle. Donbot wird vor allem durch Spammer genutzt, die Diätpillen, dubiose Geldanlagetipps und unseriöse Angebote zum Schuldenabbau propagieren.

Auch "Xarvester" nutzt die Gelegenheit sich nach vorne zu arbeiten und hat laut Stewart bereits 60.000 Windows-Computer in seinem Botnet. Neben dem üblichen Medikamenten-Spam wird darüber Werbung für wertlose, da nicht anerkannte Universitätsabschlüsse gemacht und Spam in russischer Sprache verbreitet.

Als Nachfolger des so genannten Sturm-Wurms (Nuwar, Peacomm, Zhelatin) gilt "Waledec", dessen Botnet bereits mehrere zehntausend Zombies umfassen soll. Waledec soll eine komplette Neuimplementierung ("rewrite from scratch") des Sturm-Bot sein - eine Auffassung, die auch auf der großen Ähnlichkeit der Verbreitungsmethoden basiert. Auch Whaledec setzt stark auf Mails mit vorgeblichen Grußkarten. Auch die dezentrale Organisation des Botnet mit P2P-Techniken erinnert an das Sturm-Botnet.

Zur Verschlüsselung der Kommunikation im Whaledec-Botnet kommen AES sowie 1024-Bit RSA-Schlüssel zum Einsatz. Bei sorgfältiger Implementierung dürfte das kaum zu knacken sein. Ginge man für dem Moment davon, so Stewart, dass Whaledec der neue Bot der Sturm-Programmierer sei, hätten sie aus den Fehlern der Vergangenheit gelernt.

Jose Nazario von Arbor Networks unterstützt diese These. Er habe festgestellt, dass Whaledec teilweise dieselben IP-Adressen benutzt wie der Sturm-Bot. Die Programmierer hätten die Kommunikation jedoch vom eDonkey- auf das gängigere HTTP-Verfahren umgestellt, das schwerer auszufiltern sei. Er sei inzwischen überzeugt, das Whaledec der neue Sturm-Wurm sei, meint Nazario.

In jedem Fall sind die genannten Botnets Beispiele für die Entwicklungen, die uns im neuen Jahr erwarten. Wir müssen davon ausgehen, dass die Online-Kriminalität weiter florieren wird, solange satte Gewinne winken.

0 Kommentare zu diesem Artikel
155480