109088

Spambot live in Action

03.11.2006 | 11:59 Uhr |

Ein Virenforscher beschreibt die Aktivitäten eines Trojanischen Pferds, während er es bei der Arbeit beobachtet.

Im Weblog der Virenforscher des Antivirus-Herstellers McAfee schildert Chris Barton, wie ein so genannter Spambot zu Werke geht. Nach eigenen Angaben geschieht dies, während Barton den Bericht eintippt.

Zunächst nimmt der Spambot Kontakt zu seinem Herrn und Meister auf, um Instruktionen einzuholen. Dazu benutzt er das Web-Protokoll HTTP - allerdings auf dem für Mail-Versand vorgesehenen Port 25. Er ruft eine Reihe von Server-basierten Scripten auf und empfängt die Antworten, die aus mehreren Web-Adressen bestehen.

Die erste URL liefert den Inhalt der zu versendenden Spam-Mails - in diesem Fall eine GIF-Datei, also ein Bild. Hinzu kommen als Vorspann die Kopfzeilen (Header) der Mail sowie ein wenig sinnfreier Text, um Spam-Filter zu verwirren. Die Kopfzeilen enthalten sowohl vorbestimmte Daten als auch Variablen, die beim Versand vom Spambot ausgefüllt werden, etwa Datum und Uhrzeit.

Von der zweiten URL erhält der Spambot eine Liste mit den Mail-Adressen der Empfänger. Diese Liste enthält ferner bereits zu jeder Mail-Adresse die IP-Adresse des zuständigen Mail-Servers, an die der Spambot die Mail schicken soll. Damit spart er sich weitere Abfragen, die er über das Internet senden müsste und die auffälligen Datenverkehr erzeugen könnten sowie vor allem Zeit kosten.

Schließlich erfährt der Spambot noch, an welche URLs er den erfolgreichen Spam-Versand melden soll. Hat er die Aufgabe abgearbeitet, beginnt er wieder vor vorne. Er holt sich also wieder neue Instruktionen und verschickt die nächste Spam-Welle.

0 Kommentare zu diesem Artikel
109088