Symantec: Cyberkriminelle schleusen Malware über Proxy-Service ein

Der Schädling "Backdoor.Proxybox" ist schon länger bekannt und wird auf verschiedenen Wegen verbreitet. Ein russischer Drahtzieher betreibt dafür Websites, die auf den ersten Blick legitim wirken. Er konnte offenbar über die Zahlungswege ermittelt werden.

Symantec hat die schon länger bekannte Malware „Backdoor.Proxybox“ untersucht und bringt sie mit einem russischen Drahtzieher in Verbindung, der unter anderem einen Proxy-Dienst anbietet und darüber die Schadsoftware einschleust. Dieser „unternehmerisch tätige russische Hacker“, soll mehrere dubiose Websites rund um Proxys und Malware-Verteilung betreiben.

Proxybox.name bietet demnach Proxy-Zugang, Vpnlab.ru VPN-Dienste, Avcheck.ru Antivirus-Überprüfung und Whoer.net einen Proxy-Test-Dienst. Die Services sind teilweise kostenpflichtig und nutzen mit WebMoney, Liberty Reserve und RoboKassa immer die gleichen Bezahl-Gateways. Proxy-Software kann hilfreich sein für anonymen Zugang, um Zensur zu umgehen – oder auch geografische Einschränkungen für Medieninhalte.

 Die Website Proxybox.net verkauft laut Symantec Schadsoftware mit (Screenshot: Symantec).Die Website Proxybox.net verkauft laut Symantec Schadsoftware mit (Screenshot: Symantec).

„Von ihrer Frontend-Website her scheint es sich um einen legitimen russischen Proxy-Service zu handeln, der Zugang zu einer Liste mit insgesamt Tausenden von Proxys für nur 40 Dollar monatlich bietet“, heißt es im Bericht von Symantec. „Wie können sie für so wenig Geld Zugang zu so vielen Servern bieten?“

Die Malware Backdoor.Proxybox wurde erstmals 2010 identifiziert und fiel in letzter Zeit als zunehmend aktiv auf. Sie besteht aus mehreren Komponenten, darunter einem Rootkit. Die entscheidende Komponente ist eine DLL, die beim Start des Computers ausgeführt wird und einen Proxydienst einrichtet, der die kompromittierte Maschine in ein großes Botnetz überführt. Symantecs Beobachtung der Kommando- und Kontrollserver deutet darauf hin, dass das Botnetz die Zahl der online aktiven Nutzer zu jeder Zeit bei rund 40.000 zu halten versucht. Es verbreitet seine Malware über verschiedene Wege, darunter Blackhole-Exploits.

Die mit den Malware-Websites verbundenen Zahlungswege konnte Symantec mit einem Ukrainer in Verbindung bringen, der in Russland lebt. Weitere Namen und Einzelheiten wollte das Unternehmen nicht nennen. Es arbeite mit Ermittlungsbehörden in mehreren Ländern zusammen, in denen Kommando- und Kontrollserver betrieben werden.

[mit Material von Declan McCullagh, News.com]

Themenseiten: Malware, Symantec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Symantec: Cyberkriminelle schleusen Malware über Proxy-Service ein

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *