-
-
folge blueBit auf Facebook -
folge blueBit auf Twitter@blueBit_News folgen -
folge blueBit auf Google Plus
-
von Robert Klatt •
Ermittlern ist ein Schlag gegen das weltweit agierende Andromeda-Botnetz gelungen. Die Schadsoftware hat mehrere Millionen PCs infiziert.
Ermittler aus neun Ländern haben, ein Jahr nach dem Erfolg gegen das Botnetz rund um die Schadsoftware Avalanche, erneut ein weltweit agierendes Botnetz deaktiviert. Das Andromeda-Botnetz besteht auf mehreren Millionen infizierten Rechnern, die über die gesamte Welt verteilt sind. Die Malware wurde von den Hintermännern durch infizierte Dokumente über Spam-E-Mails und gehackte Webseiten per Drive-by-Downloads verteilt. In einer Pressemitteilung der Zentralen Kriminalinspektion Lüneburg heißt es, dass neben Ermittlern aus Deutschland unter der Leitung der Staatsanwaltschaft Verden (Aller) auch die US-Bundespolizei FBI mit einigen Agenten an der Aktion beteiligt war.
Der Hauptverbreitungsweg des Bots waren Spam-E-Mails, die schadhafte Links enthalten. Anwender die auf den Link klicken, initialisieren damit den Download eines infizierten Dokuments. Weitere Rechner über per Drive-by-Download infiziert. Angreifer setzen dafür auf gehackte Webseiten und manipulierte Werbebanner, die vor allen auf Webseiten mit zweifelhaften Inhalten wie Pornografie und illegalen Downloadseiten erscheinen. In der Vergangenheit kam es jedoch auch dazu, dass seriöse Webseiten Werbebanner ausgeliefert haben, die versuchen Besucher zu infizieren.
Das Andromeda-Botnetz hat nachdem es einen Rechner infiziert hat, die Möglichkeit einen Banking-Trojaner nachzuladen, der jeweils an die Einstellungen des Rechners eines Opfers angepasst ist. Die Hintermänner konnten mit dem Botnetz, das einige Jahre aktiv war, mehrere Millionen Computer infizieren. Neben den USA und Kanada waren vor allem Nutzer in Asien und Europa betroffen. Ein Großteil der europäischen Opfer kommt aus Rumänien, Italien, Deutschland und Polen.
Neben der Beschlagnahmung und Abschaltung von sieben Servern, die die Malware verbreitet haben, wurde auch ein Tatverdächtiger während des Schlags gegen das Andromeda-Botnetz in Weißrussland festgenommen. Das Botnetz verfügte über insgesamt 1500 Domains, die zur Verbreitung der Malware eingesetzt wurden und die nun von den Ermittlern kontrolliert werden. Laut den Ermittlern konnte an nur einem Tag Ende November 1,35 Millionen Systeme ermittelt werden, die durch die Schadsoftware infiziert wurden. Nun versuchen die Ermittler die betroffenen Besitzer der Computer zu benachrichtigen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist daraufhin, dass Nutzer Meldungen ihres Internetproviders, die auf die Infektion mit dem Andromeda-Botnetz hinweisen, ernst nehmen sollen. Es wird empfohlen sämtliche Geräte genau zu prüfen, um die Schadsoftware zu entfernen. In der Vergangenheit betrug auch ein Jahr nachdem das Avalanche-Botnetz zerschlagen wurde, die Infektionsquote in Deutschland immer noch über ein Drittel des Ursprungswertes. Die Schuld daran tragen vor allen Opfer, die trotz einer Mitteilung ihres Providers ihr System nicht geprüft oder neuinstalliert haben.