Fabrikneue Computer in China mit Malware verseucht

NetzwerkePCSicherheitSoftwareWorkspace
(Bild: shutterstock / FuzzBones)

Microsoft-Mitarbeiter entdeckten bei Testkäufen auf 4 von 20 PCs Schadsoftware. Darunter befand sich auch eine Backdoor namens “Nitol”. Sie dient dem Aufbau eines Botnets, gegen das Microsoft inzwischen aktiv vorgeht.

Microsoft hat auf fabrikneuen Computern, die Mitarbeiter in verschiedenen Städten Chinas gekauft haben, Schadprogramme gefunden. Forscher des Unternehmens deckten darüber ein Botnet namens “Nitol” auf. Inzwischen darf der Softwarekonzern laut einem Gerichtsbeschluss auch technische Maßnahmen zur Schließung des Botnets ergreifen.

Die als “Operation b70” bezeichnete Aktion begann nach Unternehmensangaben im August 2011. Microsoft habe die Testkäufe durchgeführt, um Vorwürfe zu überprüfen, wonach auf Computern in China bevor sie in den Handel gelangen, Malware und gefälschte Software installiert werde. “Wir wollten eine Probe von dem erhalten, was ein durchschnittlicher Verbraucher in China bekommt”, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crime Unit, gegenüber News.com. “Wir waren überrascht, wie schnell wir etwas fanden, das unseren Verdacht stützte.”

Auf 4 von insgesamt 20 Computern entdeckten die Forscher Malware, die unter anderem in der Lage ist, sich per USB-Stick zu verbreiten. Auf einem Rechner fand sich der Nitol-Virus, der eine Hintertür installiert und so den Aufbau eines Botnets und den Versand von Spam ermöglicht. Ein Computer hatte die Backdoor “Trafog”, die einem Angreifer den Zugriff per File Transfer Protocol (FTP) erlaubt. Auf den anderen beiden Maschinen waren die Schädlinge “Malat” und “EggDrop” installiert. Letzteren beschreibt Microsoft in einem Blogeintrag als ein eher verdächtiges jedoch nicht unbedingt schädliches Programm.

Bis auf Nitol sei alle Malware allerdings nicht aktiv gewesen, erklärte Microsoft. Nitol verbinde sich mit einem Befehlsserver unter einer Domain, die dem chinesischen Unternehmen 3322.org gehöre. Boscovich zufolge steht die Domain seit 2008 im Zusammenhang mit verdächtigen Aktivitäten. Derzeit würden über fast 70.000 Subdomains mehr als 565 unterschiedliche Arten von Malware verteilt, so Boscovich weiter.

Im Lauf dieser Woche erhielt Microsoft von einem Bundesgericht in Virginia die Erlaubnis, mithilfe der sogenannten “Sinkhole”-Technik infizierte Computer dazu zu bringen, mit von Microsoft kontrollierten Servern statt mit den Befehlsservern der Hacker zu kommunizieren. Darunter seien Programme, die Mikrofone und Kameras einschalten, Tastatureingaben aufzeichnen und Daten stehlen könnten.

Aufgrund einer von Microsoft erwirkten einstweiligen Verfügung leitet die Public Internet Registry, Registrar für alle .org-Domains, die Domain 3322.org, die das Botnetz Nitol hostet, inzwischen auf DNS-Server von Microsoft um. Das ermöglicht es dem Unternehmen, den Betrieb von Nitol zu blockieren, ohne das legitime Subdomains gestört werden.

Um das Problem zu beheben fordert Boscovich, der Gesetzgeber müsse die vorhandenen Probleme erkennen und die Sicherheit der Lieferkette in China garantieren. “Offenbar wird das Betriebssystem irgendwo zwischen dem Großhändler und dem Einzelhändler installiert und es ist möglich, dass die Malware irgendwo dazwischen eingeschleust wird.”

[mit Material von Elinor Mills, News.com]