Suchen

Update: Beständiges Bredolab Botnet 143 C&C-Server beschlagnahmt – Bredolab-Trojaner aber weiterhin aktiv

| Redakteur: Stephan Augsten

Niederländische Behörden und Security-Teams haben dem Bredolab-Botnetz schwer zugesetzt: Gut 140 Command-and-Control-Server wurden vom Netz genommen und beschlagnahmt. Doch die etwa 30 Millionen Zombie-Rechner, aus denen das auf dem gleichnamigen Trojaner basierende Botnet Bredolab besteht, versenden laut Symantec weiterhin Spam.

Firma zum Thema

Kein Kontakt: Bredolab-Bots sind derzeit weitestgehend von ihren Urhebern abgeschnitten.
Kein Kontakt: Bredolab-Bots sind derzeit weitestgehend von ihren Urhebern abgeschnitten.
( Archiv: Vogel Business Media )

Der Bredolab-Trojaner verbreitet sich bevorzugt über Drive-by-Downloads oder Anhänge von Spam-E-Mails, die meist als Western-Union- und UPS-Benachrichtigungen getarnt waren. Zuletzt wurde der Trojaner auch mit Facebook-Nachrichten in Verbindung gebracht, die Nutzer des Sozialen Netzwerks auf Bredolab-verseuchte Webseiten locken sollten.

Wird Bredolab aktiv, dann öffnet er eine Hintertür zum infizierten System und lädt weitere Malware aus dem Internet nach, ohne dass der Anwender etwas davon mitbekommt. Rund 30 Millionen Rechner soll der Trojaner auf diese Weise unter die Kontrolle der Botnetz-Betreiber gebracht haben.

Nun aber wurden 143 Command-and-Control-Server (C&C-Server), über die alle Zombie-Rechner ihre Anweisungen und neue Schadcodes erhalten, durch das niederländische Computer Emergency Response Team (GOVCERT.NL) vom Netz genommen. An der Aktion waren auch die niederländische Polizei, ein niederländischer Hosting-Provider, das niederländische Forensik-Institut (NFI) und der Security-Anbieter FoxIT beteiligt.

Die niederländische Polizei will die beschlagnahmten Server nutzen, um Inhaber kompromittierter Systeme zu benachrichtigen. Die meisten Bredolab-Infektionen finden sich auf Rechnern in den USA und Großbritannien, aber auch in anderen westeuropäischen Ländern.

Update: C&C-Server in Russland entdeckt

Wie jedoch zu erwarten war, haben die Niederländer im Kampf gegen Bredolab nur eine Schlacht gewonnen: In einem Blog-Eintrag berichten Forscher von Messagelabs (Teil von Symantec), dass am 27. Oktober 2010 drei Spam-Wellen vom Bredolab-Botnet ausgingen.

Symantec konnte 750 E-Mails mit teils unterschiedlichen Inhalten abfangen, knapp 400 davon waren an spanische Empfänger gerichtet. Die Betreffzeile sämtlicher E-Mails bezog sich in irgendeiner Form auf „DHL International“ – entsprachen also dem bekannten Bredolab-Muster. Ebenso verhielt es sich mit dem ausführbaren Anhang, dessen Icon beispielsweise in das einer Excel-Daei geändert worden war um Empfänger zu täuschen.

Bei der Schadcode-Analyse hat Symantec herausgefunden, dass sich der Trojaner (zumindest in diesem einen Fall) mit einem C&C-Server verbindet, der in Russland beheimatet ist. Da davon auszugehen ist, dass in anderen Ländern weitere Command-and-Control-Server betrieben werden, wird der Krieg gegen Bredolab noch eine ganze Weile andauern – so er denn überhaupt zu gewinnen ist.

(ID:2047986)