Suchen

Trend Micro hilft Ermittlern bei Operation Ghost Click FBI legt weltweites Botnetz mit DNS Malware und 4 Mio. Bots lahm

| Redakteur: Peter Schmitz

Das FBI hat zusammen mit Trend Micro und der estnischen Polizei ein Botnetz lahm gelegt, das über vier Millionen gekaperte Rechner in mehr als 100 Ländern weltweit kontrollierte. Die Hintermänner wurden im Rahmen der Operation Ghost Click enttarnt und festgenommen. Trend Micro hat das Botnetz und die Betreiber seit fünf Jahren beobachtet und den Behörden entscheidende Informationen geliefert.

Firmen zum Thema

Das FBI hat auf einer eigens dafür angelegten Webseite genaue Informationen zur Operation Ghost Click und der Botnetz-Malware veröffentlicht.
Das FBI hat auf einer eigens dafür angelegten Webseite genaue Informationen zur Operation Ghost Click und der Botnetz-Malware veröffentlicht.

Nach langjähriger Beobachtung gelang es Trend Micro, die Struktur der Kontroll- und Befehlsserver (C&C-Server) des estnischen Botnetzes zu identifizieren und diese bis zu ihrer Abschaltung am 8. November ununterbrochen zu beobachten. Auch die im estnischen Tartu ansässige Firma „Rove Digital“ als Drahtzieherin hinter dem Botnetz war Trend Micro bereits seit 2006 bekannt. Insgesamt wurden mehr als 100 C&C-Server in einer konzertierten Aktion von Ermittlungsbehörden und IT-Unternehmen vom Netz genommen, gleichzeitig verhaftete die estnische Polizei sechs Verdächtige.

Botnetz ändert DNS-Einstellungen

Das nun zerschlagene Botnetz änderte die DNS-Einstellungen auf den infizierten Rechnern, so dass die Websurfer nach Belieben der Online-Gangster auf fremde Seiten umgeleitet wurden. Unerwünschte Werbeeinblendungen, manipulierte Suchergebnisse oder Versuche, die ahnungslosen Anwender mit falschen Alarmmeldungen zum Kauf vermeintlicher Antivirensoftware – so genannte „FakeAV-Lösungen“ – zu bewegen, waren einige der Taktiken der Kriminellen, aus ihrem riesigen Botnetz Profit zu schlagen. Die Schadsoftware selbst verfügte über leistungsfähige Verteidigungsmechanismen und verhinderte unter anderem die Aktualisierung von echten IT-Sicherheitslösungen.

„Diese konzertierte Aktion gegen eine kriminelle Bande ist höchst bedeutsam. Denn noch nie zuvor wurden cyberkriminelle Aktivitäten dieses Ausmaßes unterbunden. Im Rahmen der Zusammenarbeit von Polizeibehörden verschiedener Länder wurden sechs Personen festgenommen, und zwar auf Basis solider Informationen von Trend Micro und anderen Partnern aus der Branche“, so Martin Rösler, „Director Threat Research“ bei Trend Micro.

Ist mein Rechner infiziert? So finden es Anwender heraus!

Anwender, die vermuten, dass sie Opfer der DNS-Malware wurden, können das mittels einer vom FBI eingerichteten Abfrage-Webseite überprüfen. Zunächst müssen die Anwender dazu aber in einer Kommandozeile mittels ipconfig /all die eingetragene DNS-IP-Adresse ihres PCs herausfinden und diese dann in das Formular auf der FBI-Webseite eingeben. Der Benutzer erfährt dann, ob sein Rechner einen Malware-DNS-Eintrag aufweist oder nicht.

(ID:30241950)