Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov  
Most Popular News



Plug-Ins des Schädlings BlackEnergy hinterlassen eine Spur der Zerstörung



Sicherheitslücke im Protokoll NAT-PMP gefährdet 1,2 Millionen Heimrouter



Rovnix marschiert durch Westeuropa



Mac-Schädling WireLurker unschädlich gemacht



Visa und MasterCard schaffen Passwort für 3D Secure ab
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Nachrichten

Binärdateien von Kelihos ziehen um

18.12.2012 19:21 MSK   |   Ihr Kommentar

Die Mitarbeiter des Schweizer Projekts Abuse.ch haben aufgedeckt, dass die Betreiber des р2р-Botnetzes Kelihos, das auf Spam-Versand spezialisiert ist, die TLD-Domain .eu verlassen haben und die Bots nun von Websites aus aktualisieren, die sich in der russischen Zone befinden.

Laut Abuse.ch fand die Verlagerung der Plattformen, die von Cyberkriminellen zur Verbreitung von Kelihos, alias Hlux, genutzt werden, in eine andere TLD-Zone bereits letzten Sommer statt. Die Schweizer zählten mehr als 170 ru-Domains, die mit Host des Fast-Flux-Netzes assoziiert werden, die die schädlichen Dateien calc.exe und rasta01.exe ausgeben. Alle diese Domains wurden über Reggi.ru registriert und werden von NS-Servern bearbeitet, die ebenfalls in dem Fast-Flux-Botnetz untergebracht sind. Der Registrator der DNS-Namen hast sich nicht geändert und ist nach wie vor Internet.bs (Bahamas).

Nach Einschätzungen von Abuse.ch umfasst das Botnetz Kelihos zum gegenwärtigen Zeitpunkt 100.000-150.000 unikale IP-Adressen, die täglich Spam versenden. Bemerkenswert ist auch, dass die von den Experten präsentierten Untersuchungsergebnisse eine Neubildung betreffen, die von den Botmastern auf der Basis von Kelihos bald nach der Auflösung des vorherigen Zombienetzes vorgenommen wurde. Dieses wurde im September letzten Jahres mit Hilfe von Microsoft, Kaspersky Lab und Kyrus Tech außer Betrieb gesetzt und zählte damals um die 50.000 IP-Adressen.

Nach Angaben von Kaspersky Lab erschien die neue Kelihos-Version sofort nach der Neutralisierung der ursprünglichen Variante des Botnetzes und infizierte bereits im Februar mehrere zehntausend Anwendercomputer. Die Funktionalität des Bots wurde erweitert, um so den Botnetzbetreibern zusätzliche Einnahmen zu bescheren. Der aktualisierte Kelihos ist nun auch in der Lage USB-Sticks zu infizieren, indem er auf ihnen lnk-Dateien erstellt – so ähnlich, wie es auch Stuxnet gemacht hat. Dadurch wurde diesem Schädling ein weiterer Verbreitungsweg eröffnet.

Quelle: abuse.ch

Weiterführende Links
Weblog
Die Darkhotel-APT
Sinkholing des Hlux/Kelihos Botnetzes – was ist seitdem passiert?
Erfolgsstory Botnetz-Zerschlagung: Wie Kaspersky Lab das Hlux/Kelihos-Botnetz stilllegte
Artikel
Entwicklung der IT-Bedrohungen im dritten Quartal 2013
Entwicklung der IT-Bedrohungen im ersten Quartal 2010
Viruslist-Nachrichten
Ist Ihr Server ein Bot?
Wichtige Virut-Domains beschlagnahmt
Glossarius
Botnetz
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen