Win32/Dorkbot: Mehr als eine Million Rechner von Botnet infiziert
4. Dezember 2015
Die Aktion wird länderübergreifend von zahlreichen Behörden getragen – an der Spitze das FBI, Interpol und Europol. Ziel ist die Eliminierung der Dorkbot-Infrastruktur, zu der auch Command and Control-Server (C&C) in Asien, Europa und Nordamerika zählen. Im Zuge der Operation wurden ebenfalls diverse Domains aus dem Verkehr gezogen. Damit wurden die Möglichkeiten der kriminellen Drahtzieher des Botnets erheblich vermindert, Kontrolle über die Rechner ihrer Opfer auszuüben.
Dorkbot ist ein weit verbreitetes Botnet auf Basis von Win32/Dorkbot-Malware und ist bereits seit einigen Jahren in ständig wandelnder Form aktiv. ESET verfolgt die Ausbreitung des Botnetzes sowie die veränderte Struktur der Schadsoftware in den weltweiten Virenlaboren mit höchster Genauigkeit und hat aktuelle Entwicklungen bereits mehrmals auf seinem Security-Blog WeLiveSecurity aufgegriffen. Vor allem beim Öffnen von unbekannten Dateien, die sich auf Wechseldatenträgern befinden oder über E-Mails und soziale Netzwerke verschickt werden, sollten Nutzer vorsichtig sein.
Das Botnet verbreitet sich über unterschiedliche Kanäle, zum Beispiel über soziale Netzwerke, Spam-Mails, Wechseldatenträger und Exploit Kits. Ist die Malware einmal installiert versucht sie, die Security-Software auf dem infizierten Rechner zu stören, indem der Zugang zu den Update-Servern blockiert wird. Anschließend nimmt Dorkbot Kontakt zu einem IRC-Server auf, von dem weitere Befehle folgen.
Dabei stiehlt Dorkbot nicht nur Passwörter bei weit verbreiteten Online-Diensten wie Facebook und Twitter. Typischerweise installiert es auch den Code von einer oder mehreren Malware-Stämmen, nachdem es die Kontrolle über das System übernommen hat. Dazu gehören in erster Linie Win32/Kasidet, eine Malware speziell für DDoS-Attacken (auch als „Neutrino Bot“ bekannt) sowie Win32/Lethic, ein bekannter Spambot. Derzeit erkennen die Security-Produkte von ESET tausende unterschiedliche Varianten der Dorkbot-Module, die zusammen mit verschiedenen Malware-Arten über das Botnet verbreitet werden. (rhh)
Hier geht es zu ESET
