Sicherheit
Microsoft legt aggressives Botnet lahm
von
Thorsten
Eggeling - 17.09.2012
Microsoft hat auf fabrikneuen Computern aus China den Botnet-Virus Nitol entdeckt. Nach einem Gerichtsbeschluss hat Microsoft nun die Erlaubnis erhalten, mit technischen Maßnahmen gegen das äußerst aggressive Botnetz vorzugehen.
Seit längerem stehen chinesische Neugeräte unter Verdacht, bereits mit Schadcode und imitierter Software ausgeliefert zu werden. Um diesem Vorwurf nachzugehen, hat Microsoft die "Operation b70" (PDF-Datei) ins Leben gerufen. Seit August 2011 kaufte der Konzern stichprobenartig Rechner in verschiedenen Städten Chinas. Laut News.com wurde Microsoft zur Überraschung aller mit einer ernorm hohen Trefferquote schnell fündig.
Vier von insgesamt 20 Computern enthielten unterschiedliche Schadsoftware. Auf einem Rechner fanden die Experten den Nitol-Trojaner. Dieser ermöglicht DDoS-Attacken, indem er ein Backdoor installiert, über das ein Botnet aufgebaut sowie ohne Kenntnis des Nutzers Spam versandt werden kann. Ein anderer Rechner war mit der Backdoor "Trafog" infiziert. Diese ermöglicht Ungefugten über das File Transfer Protocol (FTP) auf den Rechner zuzugreifen. Daneben fand Microsoft noch den äußerst gefährlichen Trojaner "Malat". Er umgeht die Firewall und beschädigt das System. Darüber hinaus können Angreifer damit Schadcode einschleusen und ausführen. Beim letzten Fund handelt es sich um "EggDrop". Laut einem Blogeintrag im Microsoft-Technet handelt es sich dabei allerdings erst einmal nur um einen „Verdächtigen“, dessen Gefahr bisher noch nicht nachgewiesen ist.
Das Nitol-Botnet wird über einen Befehlsserver gesteuert, der zu einem chinesischen Unternehmen mit der Domain 3322.org gehört, die seit 2008 Schädlinge in Umlauf bringen soll. Wie Microsoft weiter berichtet, verbreitet 3322.org auf über 70.000 Subdomains 565 verschiedene Arten von Schädlinge. Damit lassen sich unter anderem aus der Ferne Mikrofone und Kameras aktivieren und die Angreifer können Daten auslesen oder Tastatureingaben abfangen.
Das US-Bundesgericht in Virginia hat Microsoft nun die Genehmigung erteilt, mithilfe eines "Sinkhole" dagegen vorzugehen. Es lenkt die Kommunikation zwischen dem infizierten Rechner und den Befehlsservern der Hacker auf DNS-Server von Microsoft um. Damit kann Nitol blockiert werden.
