16.12.2009, 00:00 Uhr
Botnetz-Veteran SDBOT treibt weiter sein Unwesen
Trend Micro hat in einem aktuellen Forschungspapier Aufbau und Funktionsweise des bereits seit 2004 bekannten Botnetzes SDBOT analysiert. Obwohl das Botnetz technologisch nicht mehr auf dem neuesten Stand ist, arbeitet es weiterhin äusserst effektiv und macht die befallenen PCs oder Laptops zu Zombierechnern, die von Cyberkriminellen ferngesteuert werden. Der Grund für die anhaltende "Beliebtheit": Gerade weil das Botnetz veraltet ist, wird es von der Sicherheitsindustrie weniger scharf beobachtet. Dadurch ist es für Cyberkriminelle als Alternative attraktiv, um darüber ihre Schadsoftware unbemerkt zu verbreiten.
Die Macher und Betreiber des Botnetzes SDBOT vermieten dessen Dienste und Download-Fähigkeiten an andere Cyberkriminelle. So bezahlen die kriminellen Autoren von gefälschten Antivirenprogrammen (FAKEAV) die SDBOT-Bande dafür, die FAKEAV-Dateien auf den kontrollierten Rechnern zu installieren. Abgerechnet wird pro erfolgreicher Installation. Dieses so genannte Pay-per-Install-Modell erfreut sich bei Cyberkriminellen wachsender Beliebtheit. SDBOT liefert damit ein anschauliches Beispiel für den mittlerweile erreichten Stand der Vernetzung und Arbeitsteilung in der Untergrundökonomie.
Um sich auch vor in der Öffentlichkeit weniger bekannten Bedrohungen wie SDBOT zu schützen, empfiehlt Trend Micro Anwendern, ihre Sicherheitslösungen auf dem neuesten Stand zu halten, unbekannte E-Mails und Spam-Nachrichten nicht zu öffnen und nicht auf Links zu klicken, die von unbekannten Absendern über Instant Messaging-Applikationen verschickt wurden. Diese Massnahmen helfen auch gegen andere Botnetze, die wie SDBOT für die Kommunikation das IRC (Internet Relay Chat)-Protokoll nutzen. Dazu zählen AGOBOT, IRCBOT oder RBOT. Anwender der Sicherheitslösungen von Trend Micro sind unter anderem durch das Trend Micro Smart Protection Network vor der beschriebenen Attacke geschützt. Denn das Smart Protection Network, die Cloud Client-Sicherheitsinfrastruktur des Anbieters, sorgt dafür, dass Online-Bedrohungen erst gar nicht auf den Rechner oder in das Netzwerk der Anwender gelangen, und blockiert den Zugriff auf verseuchte Webadressen. Anwender, die befürchten, ihr Rechner könnte bereits befallen sein, können die kostenlosen Trend Micro-Werkzeuge zum Aufspüren und Beseitigen von Infektionen wie HouseCall nutzen. HouseCall steht unter http://housecall.trendmicro.com/de/ zum Download bereit. (ph)