Botnetz StealRat im Malware-Check

Über die Hintergründe von Botnetzwerken werden normalerweise nur wenige Details bekannt. Nicht so bei StealRat: Das Sicherheitsunternehmen Trend Micro hat ein Forschungspapier zu StealRat veröffentlicht, das die Funktionsweise sowie Einzelkomponenten dieser Spam-Schleuder detailliert untersucht und Tipps zur Abwehr gibt.

Bei einem Botnetz sind meist mehrere Tausend Rechner mit Internet-Anschluss per Fernsteuerung zusammengeschlossen, um für bestimmte Aktionen missbraucht zu werden. Im Rahmen des Forschungspapiers wurde StealRat analysiert und dabei insbesondere dessen Tarntechniken untersucht. StealRat befällt Webserver, um Spam zu versenden. Da die Verbindung zwischen den befallenen Websites und den Servern der Cyberkriminellen verschleiert wird und legitime Mail-Server für den Spam-Versand genutzt werden, fällt es den meisten Administratoren schwer, die Infektion der eigenen Website zu entdecken.

Mittels StealRat von infizierten Websites verschickte Spam-Nachrichten führen in den meisten Fällen zu Porno-Seiten, enthalten manchmal aber auch kurze Auszüge aus der Science-Fiction-Serie „The Stainless Steel Rat“ von Harry Harrison und verdeckten damit den Bezug zu Porno- oder Potenzpillenangeboten – zumindest vorläufig. Die Nachrichten selbst werden in verschiedenen Sprachen wie Portugiesisch, Spanisch, Litauisch und Deutsch versendet.

Die für den Versand benötigten Spam-Daten wie Empfängeradresse, Name des Absenders, Vorlage der Spam-Nachricht und Backup-Mail-Server werden nicht direkt von der infizierten Website bei den Servern der Cyberkriminellen angefragt, sondern über infizierte Rechner, deren Anwender zuvor die kompromittierte Website besucht haben.

Weitere Details liefert das Forschungspapier von Trend Micro

Website-Administratoren können die StealRat-Infektion an den bösartigen PHP-Dateien erkennen, mit denen ihre Seiten infiziert wurden.