Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
     
Most Popular News



Adobe patcht Speicher-Bugs im Flash Player



Entscheidender Fehler ermöglicht Wiederherstellung von mittels Torrentlocker verschlüsselten Dateien



Neuer „Polizei-Virus“ für Android



AdThief: iOS-Malware befällt 75.000 Geräte mit Jailbreak



Yahoo plant End-to-End-Verschlüsselung für E-Mail-User
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Nachrichten

Wichtige Virut-Domains beschlagnahmt

28.01.2013 16:40 MSK   |   Ihr Kommentar

Der führende polnische Datennetzwerkbetreiber und Registrar, NASK (Naukowa i Akademicka Sieć Komputerowa), hat 23 lokale Domains beschlagnahmt, die zur Infrastruktur des Botnetzes Virut gehörten.

Der polymorphe Virus Virut, der ausführbare Windows-Dateien infiziert, tauchte vor über 6 Jahren erstmals im Internet auf. Er verbreitet sich über Wechseldatenträger und Sharehoster, wobei nicht nur die ausführbare, sondern auch die html-Datei infiziert werden kann. Virut verfügt über die Funktionalität eines Backdoors, und das auf dem Schädling basierende IRC-Botnetz wird häufig zur Verbreitung anderer Schadprogramme eingesetzt, wobei es an zahlreichen PPI-Partnerprogrammen teilnimmt. Die С&С-Adressen und Portnummern sind fest in den Code dieses Schädlings geschrieben, obwohl er nach Angaben von Symantec zu Beginn des laufenden Jahres mit einem Domain-Generator ausgestattet wurde – einem Notmechanismus, der es dem Botoperator ermöglicht, die Steuerung schnell wiederherzustellen, wenn die wichtigsten С&С-Domains nicht erreichbar sein sollten.

Zum gegenwärtigen Zeitpunkt gehören hunderttausende Zombie-Rechner zu dem Virut-Botnetz. Symantec registrierte Ende des Jahres 2012 um die 308.000 aktive Bots pro Tag, wobei die größten Anteile in Ägypten, Pakistan, Indien und Indonesien festgestellt wurden. Die Antiviren-Lösungen von Kaspersky Lab haben den Schädling Virus.Win32.Virut.ce im vergangenen Jahr auf den Rechnern von 3 Millionen einzelnen Anwendern detektiert. In der Jahresstatistik von Kaspersky Lab belegte dieses Schadprogramm mit 6,8% aller Detektionen den fünften Platz bei den lokalen Infektionen. Das polnische CERT (Computer Emergency Response Team) berichtet seinerseits, dass in Polen im Jahr 2012 mehr als 890.000 Virut-Infektionen (einzelner IP-Adressen) registriert wurden.

In der Befehlsinfrastruktur verwendet Virut nach Angaben von Spamhaus mehrere Dutzend Schlüsseldomains, die zum größten Teil zur polnischen nationalen Zone gehören. Im vergangenen Dezember war es den Aktivisten von Spamhaus gelungen, alle polnischen C&C-Domains stillzulegen, die über verschiedene Registrare registriert worden waren. Die Änderung des Status bemerkten damals auch die Experten von Symantec. Leider fanden die Botnetz-Betreiber schnell neue Registrare, und Spamhaus musste sich erneut an die Polen wenden. Aufgrund gemeinsamer Anstrengungen wurde der gesamte DNS-Traffic der pl-Domains von Virut auf die Server des polnischen CERT umgeleitet, das unter der Ägide von NASK arbeitet. Wie sich herausstellte, wurde einige dieser Domains auch von den Betreibern der Botnetze ZeuS und Palevo genutzt.

Spamhaus setzte sich nicht nur mit dem polnischen, sondern auch mit dem australischen CERT und dem russischen CERT-GIB in Verbindung, um die restlichen C&C-Domains von Virut zu neutralisieren. Leider zeigt die Praxis, dass derartige Aktionen gegen Botnetze nur kurzfristigen Erfolg zeitigen. Die Botnetzbetreiber finden an anderer Stelle Asyl oder aktivieren alternative Mechanismen zur Suche nach Steuerungszentren. Und laut Symantic ist Virut diesbezüglich auch schon ausgestattet ― in Form eines DGA, eines Domain-Generators.

Quellen:

Weiterführende Links
Weblog
Sinkholing des Hlux/Kelihos Botnetzes – was ist seitdem passiert?
Erfolgsstory Botnetz-Zerschlagung: Wie Kaspersky Lab das Hlux/Kelihos-Botnetz stilllegte
Artikel
Entwicklung der IT-Bedrohungen im dritten Quartal 2013
Entwicklung der IT-Bedrohungen im ersten Quartal 2010
Viruslist-Nachrichten
Ist Ihr Server ein Bot?
Binärdateien von Kelihos ziehen um
Glossarius
Botnetz
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen