Für zehn Tage konnten Wissenschaftler einen Server kontrollieren, der Daten von 180.00 Zombie-PCs sammelte
Das Botnet um den Trojaner Torpig (auch Sinowal genannt) existiert mittlerweile seit drei Jahren. US-Forscher der Universität von Santa Barbara habe sich nun in das Netzwerk aus Zombie-PCs gehackt, um mehr über Torpig herauszufinden, berichtet Golem.
180.000 Rechner inifziert
An die 180.000 Rechner sollen von dem Schädling infiziert worden sein, der bereits seit 2006 sein Unwesen im Internet treibt. Torpig wird über manipulierte Dateien in E-Mails sowie schädliche Scripts auf Webseiten verbreitet. Die Domainnamen, über die Schadcode geladen wird, werden von den befallenen PCs selbst generiert. Das vorsorgliche Sperren von Domains wird dadurch erschwert.
Speichern aller Eingaben
Der Schädling versucht durch Lücken im Browser Code nachzuladen, um seine Angriffe auszuführen. Ist der Nutzer mit Administratorenrechten angemeldet, nistet sich Torpig im Master Boot Record auf der Festplatte ein. Dadurch wird er beim Hochfahren sofort aktiviert, noch besser ein Virenscanner gestartet ist. Der Schädling speichert alle Nutzereingaben und sucht zudem nach Logins, Kreditkartennummern und Online-Banking-Accounts. Die gesammelten Daten werden dann an den Server übermittelt, der das Botnet kontrolliert.
70 GB Daten in zehn Tagen
Die Wissenschaftler konnten einen dieser Server zu Jahresbeginn für zehn Tage unter ihre Kontrolle bringen, um den Schädling näher zu untersuchen. Unterstützung erhielten die Wissenschaftler vom FBI und dem US-amerikanischen Verteidigungsministerium. Während die Forscher den Server kontrollierten, sollen rund 70 GB an Daten von den infizierten Computern übermittelt worden sein. Darunter hätten sie unter anderem Tausende Bankdaten und Login-Daten für E-Mail-Accounts abgefangen.
Zombies in USA, Deutschland und Italien
Die Forscher schätzen, dass das Botnet 180.000 PCs umfasst. Diese Zahl haben die Wissenschaftler anhand von Seriennummern ermittelt, die Torpig jedem Zombie-Rechner verpasst. Es könnten aber noch wesentlich mehr sein, denn bei der Zahl handelt es sich nur um jene Rechner, die in dem zehntätigen Zeitraum Daten an den gekaperten Server übertragen hätten. Die meisten Übertragungen seien von Rechnern aus den USA, Deutschland und Italien gekommen.
Den Ursprung von Torpig konnten die Wissenschaftler nicht ermitteln, es wird jedoch ein Zusammenhang mit dem einst berüchtigsten Russian Business Network vermutet. Den gesamten Bericht der Forscher kann im Internet als PDF abgerufen werden. (red)
