Microsoft findet Malware auf fabrikneuen Computern in China

Microsoft hat auf fabrikneuen Computern, die Mitarbeiter in verschiedenen Städten Chinas gekauft haben, Schadprogramme gefunden. Forscher des Unternehmens stießen dadurch auf ein Botnetz namens „Nitol“. Inzwischen darf der Softwarekonzern laut einem Gerichtsbeschluss technische Maßnahmen zur Schließung des Botnetzes ergreifen.

Die als „Operation b70“ bezeichnete Aktion begann nach Unternehmensangaben im August 2011. Microsoft habe die Testkäufe durchgeführt, um Vorwürfe zu überprüfen, wonach auf Computern in China Malware und gefälschte Software installiert werden, bevor sie in den Handel gelangen. „Wir wollten eine Probe von dem, was ein durchschnittlicher Verbraucher in China erhält“, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crime Unit, im Gespräch mit News.com. „Wir waren überrascht, wie schnell wir etwas fanden, das unseren Verdacht stützte.“

Auf vier von insgesamt 20 Computern entdeckten die Forscher Malware, die unter anderem in der Lage ist, sich per USB-Stick zu verbreiten. Auf einem Rechner fand sich der Nitol-Trojaner, der eine Hintertür installiert und so den Aufbau eines Botnets und den Versand von Spam ermöglicht. Ein weiterer Computer wies die Backdoor „Trafog“ auf, die einem Angreifer den Zugriff per File Transfer Protocol (FTP) erlaubt. Auf den anderen beiden Maschinen waren die Schädlinge „Malat“ und „EggDrop“ installiert. Letzteren beschreibt Microsoft in einem Blogeintrag als eher verdächtiges und nicht unbedingt schädliches Programm.

Bis auf Nitol sei alle Malware allerdings nicht aktiv gewesen, erklärte Microsoft. Nitol verbinde sich mit einem Befehlsserver unter einer Domain, die dem chinesischen Unternehmen 3322.org gehöre. Boscovich zufolge steht die Domain seit 2008 im Zusammenhang mit verdächtigen Aktivitäten.

Diese Woche erhielt Microsoft von einem US-Bundesgericht in Virginia die Erlaubnis, mithilfe der sogenannten „Sinkhole“-Technik infizierte Computer dazu zu bringen, mit von Microsoft kontrollierten Servern statt mit den Befehlsservern der Hacker zu kommunizieren. Derzeit würden über fast 70.000 Subdomains mehr als 565 unterschiedliche Arten von Malware verteilt, so Boscovich weiter. Darunter seien Programme, die Mikrofone und Kameras einschalten, Tastatureingaben aufzeichnen und Daten stehlen könnten.

Inzwischen leitet die Public Internet Registry, Registrar für alle .org-Domains, die Domain 3322.org, die das Botnetz Nitol hostet, auf DNS-Server von Microsoft um. Das ermöglicht es dem Unternehmen, den Betrieb von Nitol zu blockieren, ohne dass legitime Subdomains gestört werden.

Zum Problem der vorinstallierten Malware in China sagte Boscovich, der Gesetzgeber müsse die vorhandenen Probleme erkennen und die Sicherheit der Lieferkette in China garantieren. „Offenbar wird das Betriebssystem irgendwo zwischen dem Großhändler und dem Einzelhändler installiert und es ist möglich, dass die Malware irgendwo dazwischen eingeschleust wird.“

[mit Material von Elinor Mills, News.com]