Polnischer Registrar nimmt Botnetz Virut Domains weg

NetzwerkeSicherheitSicherheitsmanagement

Im Zuge der Aktion wurden auch zwei Befehlsserver abgeschaltet. Das Botnet Virut ist offenbar schon seit 2006 aktiv. Gegen die schon länger bekannten Hintermänner geht die polnische Justiz allerdings immer noch nicht vor.

Der polnische Registrar NASK hat mehrere für das Botnetz Virut verwendete Domains beschlagnahmt. Zuvor war er von Spamhaus nachdrücklich aufgefordert worden, Maßnahmen gegen das Botnet zu ergreifen, das Schätzungen zufolge aus rund 300.000 Zombie-PCs besteht. Spamhaus hat nach eigenen Angaben auch mit den CERT-Organisationen (Computer Emergency Research Team) in Österreich und Russland Kontakt aufgenommen. Ziel sei es, Virut-Server außerhalb Polens zu deaktivieren.

NASK hat nach eigenen Angaben 23 Domains eingezogen. Zudem seien zwei Befehlsserver des Botnetzes abgeschaltet worden. Es ist das erste Mal, dass der Registrar gegen Domains vorgegangen ist, die von Cyberkriminellen missbraucht werden.

Gemessen an der Zahl der infizierten Rechner sei Virut das fünftgrößte Botnet der Welt, teilen NASK und CERT Polen unter Berufung auf eine Statistik von Kasperksy Lab mit. 2012 habe das Botnetz allein in Polen Computer mit 890.000 eindeutigen IP-Adressen infiziert. Die Hintermänner sollen laut dem polnischen Security-Blog Niebezpiecznik einen Umsatz von rund 1 Million Zloty (250.000 Euro) erwirtschaftet haben. Der Blogger Brian Krebs hat zudem herausgefunden, dass Virut eine eigene Endnutzerlizenzvereinbarung (EULA) besitzt.

Dem polnischen CERT ist Virut seit 2006 bekannt. Der Forschergruppe Team Furry zufolge wurde das Botnetz von zwei Polen aufgebaut. Derzeit wird es in erster Linie dazu benutzt, um Spam zu verbreiten, DDoS-Angriffe auszuführen und Daten zu stehlen. Die Identitäten der beiden Betreiber des Botnetzes sind dem polnischen CERT seit 2007 bekannt. Bisher hat die polnische Justiz aber noch keine Ermittlungen eingeleitet.

Kürzlich hat Symantec festgestellt, dass mit der Malware W32.Virut infizierte Systeme auch W32.Waledac.D herunterluden – das Schadprogramm, das für das als Waledac oder auch Kelihos bekannt gewordene Botnetz verantwortlich war. Waledac galt nach Gegenmaßnahmen als tot, wird aber auf diese Weise offenbar wiederbelebt. Laut Niebezpiecznik ist die Kombination aus Waledac und Virut in der Lage, täglich 3,6 Milliarden Spam-E-Mails zu verschicken.

Das Spam-Aufkommen insgesamt ist zwar seit Ende 2010 rückläufig, die medienwirksamen Abschaltungen großer Botnetze haben dazu aber laut einer Untersuchungen von Eleven wenig beigetragen (Grafik: Eleven).
Das Spam-Aufkommen insgesamt ist zwar seit Ende 2010 rückläufig, die medienwirksamen Abschaltungen großer Botnetze haben dazu aber laut einer Untersuchungen von Eleven wenig beigetragen. Eine interaktive Version dieser Grafik mit weiteren Detailinformationen steht auf der Website des Unternehmens zur Verfügung (Grafik: Eleven).

[mit Material von Michiel van Blommestein, ZDNet.com]