Moskau/Ingolstadt, 30. März 2010 - Kaspersky Lab warnt vor einer nach wie vor aktiven deutschen Cybercrime-Szene. Denn vor kurzem zeigte ein Beispiel, wie mit Bots in Deutschland Geschäfte gemacht werden. Das Interessante dabei: auch bei cyberkriminellen Geschäften kommt es zu Unstimmigkeiten zwischen Anbieter und Kunden.

Dazu sollte man sich die Ausgangssituation im Bereich „Bot-Vertrieb" wie folgt vorstellen: Cyberkriminelle bieten so genannte Bot-Pakete an - beziehbar entweder direkt vom Autor des Bots oder von seinem Geschäftspartner. Der Kunde erhält ein Paket mit allen benötigten Dateien und zusätzlich Support wie Updates gegen die Erkennung durch Antiviren-Scanner. Üblicherweise werden unterschiedliche Support-Level angeboten.

Doch wie bei legalen Geschäften auch kann es bei Cyberkriminellen zu Unstimmigkeiten zwischen dem Anbieter und dem Kunden kommen: in diesem Fall über ein Bot-Paket, das im Februar 2010 von „Till7" angeboten wurde. Dabei handelte es sich um den Bot „v0id bot" mit einer Web-basierten C&C-Oberfläche. Die Distribution des Bot-Pakets wurde von einem Partner, „3lite", übernommen. Das Paket beinhaltete die folgenden Komponenten: Aufruf von Webseiten, Download und Ausführung einer Datei von einer angegebenen Webseite, E-Mail-Spamming und -Bombing, Stehlen von Passwörtern sowie HTTP- und UDP-Flooding.

Mitte März tauchten dann die ersten Forenbeiträge über den fehlenden Support des Bot-Erstellers und seines Partners auf. Einer der verärgerten Kunden veröffentliche schließlich das Bot-Paket im Internet. Er beklagte sich, dass der Bot schlecht geschrieben und der Support nicht vorhanden sei. Damit war die kommerzielle Nutzung des Bots (zumindest seitens der Bot-Autoren) beendet; zeitnah erschienen mehrere veränderte Versionen mit zahlreichen Verbesserungen. In einem weiteren Forum wurde der Bot ebenfalls durch einen Kunden veröffentlicht, weil mehrere Anti-Viren-Scanner diesen erkannt hatten und der Schöpfer somit seiner versprochenen "FUD"-Garantie (fully undetected, zu Deutsch: „wird nicht erkannt") nicht nachgekommen war.

„Das Bot-Geschäft und die anschließenden Support-Streitereien wurden in deutscher Sprache abgewickelt", so Marco Preuss, Viren-Analyst bei Kaspersky Lab. „Dies zeigt, dass die Cybercrime-Szene in Deutschland quicklebendig ist. Die Auswirkungen der deutschen Bot-Affäre sind allerdings global: Da der Bot durch die Veröffentlichung nicht verschwunden ist, kann sich jeder ambitionierte Cyberkriminelle das veröffentlichte Bot-Paket herunterladen. Zudem tauchte vor kurzem auch der vollständige Quellcode des Bots im Internet auf. Auf dieser Basis haben Kriminelle die Möglichkeit, komplett eigene, neue Bots zu erstellen und diese inklusive Support im World Wide Web feilzubieten."

Quelle: Kaspersky Labs GmbH