Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Oldie, but Goldie: Soviel verdient Botnet-Veteran »SDBOT«

Setzt auf altes Protokoll Internet-Relay-Chat

Oldie, but Goldie: Soviel verdient Botnet-Veteran »SDBOT«

16. Dezember 2009, 15:06 Uhr | Werner Veith
Kontaktaufnahme von »SDBOT« mit einem IRC-Server (Internet-Relay-Chat) für weitere Befehle nach erfolgreicher Installation. (Quelle: Trend Micro)

Gegenüber jüngere Malware ist der Botnet-Veteran »SDBOT« immer noch gut im Geschäft. Seit 2004 treiben verschiedene Varianten unauffällig ihr Unwesen. Bis zu 150 Dollar fließt in die Kasse durch »Pay per Install« auf einen infizierten Rechner.

Das Alter muss nicht unbedingt ein Nachteil sein. Das zeigt sich auch in der Malware-Szene. So gibt es zwischen Newcomern bei den Schädlichen auch den Oldie »SDBOT«. Dieser treibt erfolgreich, und vor allem unauffällig, seit 2004 sein Unwesen: Ein schon recht hohes Alter. Aber dieser Goldie unter Botnet-Schädlingen bringt seinen Urhebern nach wie vor gutes Geld. Diese vermieten Sdbot-Netze an andere Kriminelle. Die wiederum nutzen das Netz, um auf den befallenen Rechnern eigene Software zu installieren. Nach dem Pay-per-Install-Modell zahlen sie dabei für jede erfolgreiche Installation. Trend Micro hat sich in dem White-Paper »SDBOT IRC Botnet Continues to Make Waves« mit dem Schädling befasst.

Dieses Geschäft ist relativ lukrativ. Pro erfolgreicher Installation erhalten die Botnet-Eigentümer zwischen 25 und 150 Dollar. Der Preis hängt von der Länder-Domain ab. So gibt es bei den Domains »gb« (Großbritannien), »de« (Deutschland) und »ca« (Kanada) 150 Dollar. Für Rechner aus »us« (USA) gibt es nur 120 Dollar. Rechner aus Brasilien mit »br« kosten nur noch 60 Dollar pro Installation.

Die Installation des Codes »BKR_SDBOT.COD« übernimmt ein Trojaner »TROJ_DROPPR-BH«. Dabei kommt die Malware als Datei »photo.com«. Dahinter verbirgt sich eine selbstextrahierende Datei. Durch die Umbennung in »photo.exe« lässt sich die enthaltene Datei »burim.exe« herausholen.

Eine Kopie des BKR_SDBOT.COD landet im Ordner »C:Windows« als »fxstaller.exe«. Zusätzlich wird ein Registry-Eintrag erzeugt, damit der Schädling automatisch beim Systemstart ausgeführt wird.

  1. Oldie, but Goldie: Soviel verdient Botnet-Veteran »SDBOT«
  2. Oldie, but Goldie: Soviel verdient Botnet-Veteran »SDBOT« (Fortsetzung)

Lesen Sie mehr zum Thema

TREND MICRO Deutschland GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu TREND MICRO Deutschland GmbH

Sicherheitslücken gefährden 5G-Netze

Studie: Einsatz privater drahtloser Netzwerke wächst stark

Eine Herausforderung unserer Zeit 

KI-generierten Betrug verhindern

Bericht von Trend Micro

So entwickelt sich der Cyber-Untergrund

CES 2025: Trend Micro und Intel

Gemeinsam gegen versteckte Bedrohungen

Cybersicherheitsvorhersagen für 2025

Bedrohung durch bösartige digitale Zwillinge

Matchmaker+
G DATA CyberDefense AG

G DATA CyberDefense AG
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
Securepoint GmbH

Securepoint GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
Riello UPS GmbH

Riello UPS GmbH
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH