Microsoft und Symantec haben ein großes, betrügerisches Botnet ausgehoben. Nach jahrelangen Ermittlungen konnte man nun die Commandserver abschalten bzw. beschlagnahmen lassen. Das berichtet Wired.

Takedown

"Bamital" hieß das Netzwerk aus infizierten Rechnern. Die Server, über die es kontrolliert wurde, standen unter anderem in New Jersey und den Niederlanden. Die Betreiber des Datenzentrums in Holland, LeaseWeb, haben eine Kopie der Serverinhalte an Microsoft und Symantec übergeben.

Werbeumleitungen

Über diese Hauptrechner lief der Traffic, den das Botnet generierte. Es setzte darauf Computer auf präparierten Webseiten via "Drive-by Downloads" mit Malware zu infizieren. Diese injizierte, wenn ein User im Internet surfte, sogenannte "iFrames" in jede Webseite, die er sich ansah. Egal, welche Adresse aufgerufen wurde, jedes Mal wurden auf diese Art auch Inhalte von den Servern der Cyberkriminellen mitausgeliefert.

Bei diesen handelte es sich um Ketten an Seiten mit Einschaltungen verschiedener Werbenetzwerke. Am Ende der Eingabe landete der Benutzer oft auf einer ganz anderen Seite, als jene, die er eigentlich angesurft hatte. Spätere Varianten des Schädlings verzichteten auf die iFrames, sondern leiteten Links aus Suchmaschinentreffer über die Kommandoserver um, wo schließlich wieder die Werbekette in Gang gesetzt oder eine aktuellere Version der Malware heruntergeladen wurde.

Millionengewinn

Über die Redirects fielen für die Betreiber von "Bamital" entsprechende Werbeeinnahmen ab. Pro Jahr, so die Schätzung von Symantec und Microsoft, konnte so eine Million Dollar erwirtschaftet werden.

Ein Teil der involvierten Werbenetzwerke fungierte beim Betrieb des Botnetzes als Mittelsmänner. Sie verkauften anderen Ad-Networks den von "Bamital" generieten Traffic als "echt". Als Verrechnungsstelle wuschen sie quasi die ohne Wissen der User generierten Klicks weiß.

Die laufende Veränderung der Malware erschwerte den Ermittlern die Arbeit und ist auch der Grund dafür, weswegen es drei Jahre lang dauerte, bis man die Server ausfindig machen konnte. Dies machte erst eine kurzen Phase des Stillstands möglich, in der sich das Botnet "stabilisierte".

Microsoft-Seite informiert Infizierte

Symantecs oberster Security Response Manager, Vikram Thakur, schätzt, dass die User, deren Rechner Teil von "Bamital" sind, entweder nicht über ausreichenden Virenschutz verfügen, oder mit einem ungepatchten Betriebssystem unterwegs sind. Denn die Malware wird von vielen Scannern schon seit längerem erkannt.

Die Kontrolle über die Server gibt Microsoft nun die Möglichkeit, Betroffene direkt zu warnen. Statt auf Werbeseiten geschleust zu werden, werden diese nun auf eine Seite des Redmonder Konzerns umgeleitet, auf welcher sie über die Infektion informiert werden.

Während "Bamital" in technischer Hinsicht eliminiert ist, geht die Fahndung nach den Hintermännern weiter. Microsoft und Symantec hoffen, aus den Inhalten der Server mehr über die Untergrund-Werbenetzwerke in Erfahrung bringen zu können, die oft für die Errichtung derartiger Botnetze verantwortlich sind. (red, derStandard.at, 07.02.2013)