F-Secure erkundet riesiges Bot-Netz

Dem Sicherheitsanbieter F-Secure ist es gelungen, ein riesiges Bot-Netz mit mehr als 2.395.963 Rechnern zu erkunden. Dabei erreichten die Forscher, dass sich für eine bessere Analyse infizierte Rechner auch mit dem eigenen Viren-Labor verbanden.

Ein riesiges Bot-Netz durch den »Downadup«-Wurm mit mehr als 2.395.963 Rechnern hat F-Secure beobachtet. Dabei befinden sich auch mindestens 4392 Rechner in Deutschland. Den Anti-Viren-Forschern ist es hier gelungen, das Verhalten der infizierte Rechner genauer zu untersuchen. Dies ist möglich, weil sich Rechner mit dem Wurm auch mit dem Viren-Labor von F-Secure verbunden haben. Der Downadup-Wurm kontaktiert eine Web-Site, um sich von dort eine Software herunterladen, die es den Kriminellen erlaubt, den befallenen Rechner fernzusteuern.

Damit die befallenen Systeme das Viren-Labor kontaktieren, haben die Forscher die Cyper-Kriminellen mit eigenen Waffen geschlagen. Der Downadup-Wurm erzeugt nach einem komplizierten Algorithmus-Namen von möglichen Web-Sites, um von dort den Schadcode herunterzuladen. Dies sind Namen wie qimkwaify.ws, mphtfrxs.net oder hcweu.org. Die Kriminellen müssen jeweils nur eine Domain für den nächsten Tag erraten, diese registrieren und den Code bereitstellen.

F-Secure hat nun ebenfalls solche möglichen Web-Sites registriert, mit denen sich dann befallene Rechner verbunden haben. Gleichzeitig ergibt sich so eine Schätzung der Größe des Bot-Netzes, die bei 2.395.963 liegt. Der Anti-Viren-Hersteller geht aber davon aus, dass die tatsächliche Zahl noch größer ist.

Der komplizierte Algorithmus für die Suche nach Web-Sites, um den Schadcode herunterzuladen, macht es fast unmöglich, diese alle auszuschalten. Typischerweise gab es bisher nur eine Handvoll dieser Sites. Diese lassen normalerweise leicht finden und dann deaktivieren.