Suchen

Malware in gefälschte Windows-Software eingebettet Microsoft zerschlägt Nitol-Botnetz

| Redakteur: Stephan Augsten

Microsofts Kampf gegen die Botnetze geht in die nächste Runde: Der Software-Hersteller hat in Absprache mit dem U.S. District Court East Virginia das Nitol-Botnet zerschlagen. Auf der Haupt-Domain und den über 70.000 Subdomänen hat Microsoft fast 580 verschiedene Malware-Varianten entdeckt.

Firma zum Thema

Auf der Haupt-Domain des Nitol-Botnetzes wurden mehr als 550 Malware-Varianten gehostet.
Auf der Haupt-Domain des Nitol-Botnetzes wurden mehr als 550 Malware-Varianten gehostet.
(Microsoft)

Der Schlag gegen Nitol-Botnetz ist bereits die zweite Microsoft-Offensive innerhalb eines halben Jahres, nachdem im März 2012 bereits Teile des Zeus-Netzwerkes außer Kraft gesetzt wurden. Nitol war Microsoft zufolge bereits seit 2008 aktiv.

Gefälschte Microsoft-Produkte dienten dazu, das Nitol-Botnetz aufzubauen. An dieser Stelle setzten auch die Untersuchungen seitens Microsoft an. IT-Forensiker bestellten bei chinesischen Retailern insgesamt 20 PCs, vier davon beinhalteten gefälschte Windows-Software. Darin fanden sich wiederum verschiedenste Varianten des Nitol-Bots.

Bislang wurden über 4.000 Rechner entdeckt, die mit dem Nitol-Bot infiziert sind. Die Schadcodes waren dazu in der Lage, sich über USB-Geräte wie Flash-Speicher zu verbreiten. Bei der Analyse des Schadcodes stellte sich heraus, dass dieser verschiedene Rootkit-Mechanismen benutzt. Diese waren als Hintergrundprozesse getarnt und stellten die Kommunikation mit den Command-and-Control-Servern sicher.

Die Malware beinhaltet darüber hinaus einen Remote-Access-Trojaner, der es den Cyber-Kriminellen ermöglichte, die volle Kontrolle über den kompromittierten Rechner zu übernehmen. Außerdem fanden sich im Schadcode Keylogging-Mechanismen, mit deren Hilfe Tastatureingaben aufgezeichnet wurden.

Auf der Hauptdomain 3322.org, die Microsoft im Zuge des Gegenschlags übernommen hat, fanden sich mehr als 570 verschiedene Malware-Typen. Weitere Informationen finden sich in der detaillierten Analyse des Nitol-Botnetzes durch Microsoft.

(ID:35607140)