Botnetz Kelihos abgeschaltet

Es war mit 110.000 Bots fast dreimal so groß wie sein Vorgänger. Forscher konnten den Peer-to-peer-Mechanismus für die interne Kommunikation infiltrieren. Die Mehrheit der PCs verwendete ein nicht gepatchtes Windows 7.

Forschern von CrowdStrike ist es gelungen, die im Februar entdeckte Neuauflage des Botnetzes Kelihos abzustellen. Dafür nutzten sie den Peer-to-peer-Mechanismus, mit dem das Netz Informationen weiterverteilt. Sie berichten auch, dass das zweite Kelihos ungefähr dreimal so groß war wie sein Vorgänger.

Das neue Kelihos und sein Vorgänger im Größenvergleich (Infografik: CrowdStrike)
Das neue Kelihos und sein Vorgänger im Größenvergleich (Infografik: CrowdStrike)

CrowdStrike arbeitete in dieser Sache mit Kaspersky Lab, Dell Secureworks und dem Honeynet Project zusammen. Es führte ein Reverse Engineering des Codes durch und erstellte eine eigene Variante der Software. So war es möglich, die Kommunikation der Bots an Sicherheitsforscher und Polizeikräfte umzulenken, statt dass sie die Kriminellen bedienten. Kelihos versandte vor allem Spam für ein kanadisches Pharmaprodukt, stahl aber auch die virtuelle Währung Bitcoins.

„Vergangene Woche wurde begonnen, Kelihos.B über den Peer-to-peer-Mechanismus zu vergiften. Binnen Minuten waren wir mit 110.000 infizierten Rechnern in Kontakt“, berichtet Adam Meyers von CrowdStrike. „Das ist schon cool, dass wir eine der Eigenschaften des Botnetzes, seine P2P-Kommunikation, gegen es verwenden konnten.“

Der manipulierte Code ging zunächst an ausgewählte Systeme, die ihn anschließend wie vorgesehen weiterverbreiteten – wie ein Virus. „Irgendwann übernimmt der Code das Netzwerk und die Verbrecher verlieren die Kontrolle“, sagt Meyers. Es sammelt nun noch Daten wie IP-Adresse und Betriebssystem der infizierten PCs. Demnach war das verbreitetste Betriebssystem Windows 7, aber noch ohne Service Pack 1, knapp vor Windows XP mit je über 9000 Systemen.

Die Kommandoserver von Kelihos standen CrowdStrike zufolge in Schweden, Russland und der Ukraine. Zwei Tage, nachdem der manipulierte Code eingeschleust worden war, gaben die Betreiber ihre Infrastruktur auf.

Das erste Kelihos-Netz hatte Microsoft im Oktober 2011 mit einer ähnlichen Methode gestoppt. Es war damals rund 41.000 Bots stark. Ebenfalls Microsoft konnte diese Woche schon melden, dass US-Behörden auf seine Tipps hin die Kommandoserver des Botnetzes Zeus abgestellt hatten.

[mit Material von Elinor Mills, News.com]

Themenseiten: Kaspersky, Microsoft, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Botnetz Kelihos abgeschaltet

Kommentar hinzufügen
  • Am 29. März 2012 um 13:09 von Markus T.

    Fail
    Schon mal was von Rechtschreibung gehört…?!

    Anm. d. Red.: Ja, so von Berufs wegen haben wir täglich damit zu tun. Was meinen Sie?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *