219128

Ilomo, das unbekannte Botnet

27.08.2009 | 16:25 Uhr |

Ilomo ist ein relativ komplexer Bot, der bereits seit einigen Jahren aktiv ist und ein ansehnliches Botnet aufgebaut hat. Es dient Online-Kriminellen für allerlei Zwecke, die vom üblichen Datendiebstahl bis zu etwas originelleren Anwendungen reichen.

Einige Botnets, etwa das von Conficker , haben einen recht hohen Bekanntheitsgrad erreicht. Andere haben es geschafft, über Monate oder gar Jahre das Radar von Sicherheitsfirmen zu unterfliegen. So etwa Ilomo, auch als "Clampi" bezeichnet. Das Geschäftsmodell der Betreiber basiert zum Teil auf dem üblichen Datendiebstahl, etwa Passwortklau. Ein weiterer Teil des Geschäfts ist ein Anonymitätsdienst, der anderen Online-Kriminellen gegen Entgelt angeboten wird.

Ilomo schleust seinen Code in den Browser eines infizierten Rechners ein und überwacht die aufgerufenen Web-Adressen. Sobald der Benutzer eine von etwa 4000 der Malware bekannten Websites von Banken, Finanzdienstleistern oder Webmail-Diensten aufruft, werden die Anmeldedaten abgefangen und an die Botnet-Betreiber übermittelt. Darüber hinaus kann Ilomo auch die geöffnete Sitzung mitnutzen, um Geld vom Konto des Opfers an die Täter zu überweisen.

Außerdem sammelt Ilomo auch Login-Daten für FTP-Zugänge, Web-Server oder lokale Administratorkonten. Diese Informationen werden genutzt, um den Bot im Netzwerk zu verbreiten und neue Malware-Versionen auf fremden Websites unter zu bringen.

Für den Anonymitätsdienst, das zweite Standbein von Ilomo, dient jeder Botnet-Rechner ("Zombie") als Proxy. Online-Kriminelle können sich so hinter der IP-Adresse des Proxy verstecken. So können sie sich zum Beispiel mit gestohlenen Daten bei einer brasilianischen Bank anmelden, obwohl diese nur Verbindungen von brasilianischen IP-Adressen akzeptiert. Dazu benutzen die Täter einfach einen Zombie-Rechner in Brasilien.

Die Malware-Forscher von Trend Micro haben eine 30 Seiten umfassende Analyse des Ilomo-/Clampi-Botnet veröffentlicht. Sie ist als PDF-Datei im Malware-Blog von Trend Micro erhältlich.

0 Kommentare zu diesem Artikel
219128