Gefährliches Peer-to-Peer-Botnetz umfasste mehr als 40.000 infizierte Rechner

Moskau/Ingolstadt, 30. September 2011 - Kaspersky Lab, Microsoft und Kyrus Tech haben in enger Kooperation die Kontrolle über das gefährliche Peer-to-Peer-Botnetz Hlux, auch bekannt als Kelihos, übernommen. Das Zombie-Netz war vor allem für Spamversand, den Diebstahl sensibler Finanzinformationen und DDoS-Attacken verantwortlich. Microsoft hat gegen 24 Hintermänner des Botnetzes juristische Schritte eingeleitet, um die Command-and-Control-Domains des Botnetzes stillzulegen. Kaspersky Lab und Kyrus Tech konnten dabei vor allem ihre technische Expertise einbringen. Beim Abschalten des Botnetzes unterstützte Kaspersky Lab Microsoft unter anderem bei der Analyse der Kommunikationsprotokolle und bei der Entwicklung von Werkzeugen, mit denen die Peer-to-Peer-Infrastruktur des Botnetzes aufgebrochen werden konnte. Zudem stellte Kaspersky Lab sein Live-Botnetz-Tracking-System zur Verfügung.

„Kaspersky Lab spielte bei der Zerschlagungsoperation eine Schlüsselrolle, indem sie uns wichtiges Insiderwissen basierend auf ihren technischen Analysen und ihrer Expertise über Kelihos zur Verfügung stellten", so Richard Boscovich, Senior Attorney bei Microsoft Digital Crimes Unit. „Dadurch konnten wir gemeinsam einen tollen Erfolg verbuchen und haben weitere Erkenntnisse bei der Analyse und der Struktur von Botnetzen gewonnen. Wird sind über diese Unterstützung sehr dankbar."

Durch das so genannte Sinkholing, ein Untergraben des Botnetzes, existiert der Verbund von Zombie-Rechnern zwar noch, wird aber von Kaspersky Lab und Microsoft kontrolliert. Derzeit verbinden sich pro Minute etwa 3.000 Hosts mit dem Sinkhole. Hlux kann allerdings nur dauerhaft ausgeschaltet werden, wenn alle mit Hlux infizierten Maschinen gesäubert werden. Dazu fügte das Malware Protection Center von Microsoft bereits ein Entdeckungsprogramm für Kelihos zu seinem Malicious Software Removal Tool hinzu. Durch die Aktionen sollte die Anzahl infizierter Computer in nächster Zeit spürbar sinken.

„Seit unserer Sinkholing-Operation am 26. September ist das Botnetz außer Betrieb. Da mittlerweile die Bots mit unseren Maschinen kommunizieren, können wir über so genanntes Data-Mining beispielsweise die Infizierungen pro Land nachvollziehen. Bisher konnten wir 40.000 infizierte Rechner  identifizieren und  über die jeweiligen ISPs die Netzwerk-Besitzer über die Infektionen informieren"", so Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab.

Kaspersky Lab und Microsoft arbeiten in punkto IT-Sicherheit bereits seit geraumer Zeit  zusammen. Dazu gehört die erfolgreiche Zusammenarbeit bei der Analyse des Stuxnet-Wurms, der industrielle Kontrollsysteme, die zum Beispiel beim Nuklearprogramm des Iran eingesetzt werden, attackierte.

Quelle