Botnetz Waledac Der Zombie zuckt noch

In einer spektakulären Aktion ließ Microsoft kürzlich das Zombie-Computernetz Waledac ausknipsen - doch jetzt häufen sich Fragen. Was hat die Aktion wirklich gebracht, lebt das Botnetz gar wieder auf? Und vor allem: Wer säubert eigentlich die infizierten Rechner?


Fotostrecke

4  Bilder
Der Fall Waledac: Ende eines Botnets
Seit rund zehn Tagen sollte das Botnetz namens Waledac Geschichte sein. Microsoft hatte in einer spektakulären Aktion das Gehirn des Schädlingsverbundes mit einem juristischen Trick abschalten lassen. Man entzog den Kontrollservern der gekaperten Maschinen nach einem Gerichtsbeschluss einfach den Netzzugang.

Die Abschaltung eines hochkomplexen Botnetzes, indem man die sogenannten Zombie-Rechner von ihren kriminellen Kontrolleuren isoliert - das erregte weltweit Aufsehen. So etwas hatte bis dahin noch niemand versucht. "Wir haben uns Mühe gegeben, die komplexe Materie für das Gericht so verständlich aufzubereiten, dass eine schnelle Entscheidung möglich war", sagt TJ Campana, der bei Microsoft für die "Operation b49" verantwortlich ist.

Inzwischen taucht jedoch die Frage auf, was mit den wahrscheinlich vielen hunderttausend Computern passiert, die von Waledac mit Trojanern infiziert und für allerlei kriminelle Aktionen missbraucht wurden. Man wolle jetzt "die von uns ermittelten IP-Adressen der infizierten Maschinen an die jeweils zuständigen Internetprovider weiterleiten", sagt der Informatiker Thorsten Holz im Gespräch SPIEGEL ONLINE. "Nur die Provider können dann auf Ihre Kunden zugehen." Holz ist ein deutscher IT-Sicherheitsforscher, der mit seinem Kollegen Ben Stock durch Analysen des Botnetzes entscheidend beim Kampf gegen Waledac geholfen hat.

Nachdem die nach wie vor unbekannten Botnetz-Konstrukteure die Schädlinge nicht mehr aktualisieren können, haben gängige Anti-Viren-Programme laut Thorsten Holz leichtes Spiel mit den Infektionen. Zumindest wenn sie noch funktionieren - denn die heimliche Deaktivierung von Virenscannern ist natürlich eine Standardfunktion der meisten potenten Schadprogramme.

Man könnte Waledac endgültig killen - darf es aber nicht

Und damit hören die Unwägbarkeiten nicht auf. Ben Stock hat zwar inzwischen einen Online-Test programmiert, der die IP-Adresse von Computern mit einer Liste bekanntermaßen verseuchter Rechner abgleicht. Damit lassen sich jedoch nur PC in Netzwerken mit festen IP-Adressen identifizieren - normalerweise also keine Privatcomputer. "Weil sich IP-Adressen von PC in Haushalten regelmäßig ändern, können wir Infektionen nicht vollkommen sicher nachweisen", sagt Stock.

Technisch gesehen könnten die deutschen Botnetz-Experten zwar alle infizierten Rechner mit einem Handstreich vom Digitalschädling befreien. Rechtlich sind ihnen aber die Hände gebunden: "Wir stehen mit unserem Kontrollserver in ständigem Kontakt zu den verseuchten Maschinen und halten sie so in Schach. Mit Hilfe des Waledac-eigenen Mechanismus zum Update des Schädlings könnten wir Software auf die Computer schicken, die Waledac sofort ins Nirwana befördert. Das verstößt jedoch in sehr vielen Ländern gegen geltendes Recht und wäre obendrein unethisch", sagt Stock. "Wir können also nur auf die Kooperation mit den Internetprovidern setzen."

So oder so, Spam-Experten stellen inzwischen den Effekt der ganzen Aktion gegen Waledec in Frage. Waledac soll früher laut Microsoft täglich bis zu 1,5 Milliarden Spam-Mailsverschickt haben - doch die Menge des weltweit versandten Spams hat Fachleuten zufolge seit der Stilllegung des Zombie-Netzes nicht abgenommen. Eigentlich müsste ein Rückgang in den diversen Spam-Statistiken spürbar sein, das aber ist nicht so.

Eine Leiche erschossen?

"Waledac war zum Zeitpunkt des Abschaltens schon lange keine massive Spam-Kanone mehr", sagt Thorsten Holz dazu. "Den Spitzenwert von 1,5 Milliarden Nachrichten haben wir vor mehreren Monaten gesehen." Was aber hat der von Microsoft medienwirksam aufgezogene Schlag gegen die Cyber-Kriminellen dann bewirkt?

Ben Stock verweist auf abgewendete Gefahren: "Waledac war am Ende außerordentlich rege beim Klau von Anmeldedaten, zum Beispiel für E-Mail-Zugänge oder FTP- und Webserver. Mit diesen Login-Daten hätten die Waledac-Macher zahlreiche legitime Server zu Malware-Schleudern umfunktionieren können." Außerdem wurde per Waledac kostenpflichtige, aber wirkungslose Anti-Viren-Software verbreitet - sogenannte Fake- oder Rogue-Anti-Virus-Software, kürzer auch Scareware. Diese Art des Betrugs gehört zu den erfolgreichsten Maschen von Cyber-Gaunern überhaupt.

Paul Ferguson, Virenspezialist beim IT-Sicherheitsunternehmen Trend Micro, bezweifelt, dass Waledac wirklich komplett ausgeschaltet wurde. "Offenbar hat Microsoft den einen oder anderen Kontrollserver des Botnetzes übersehen", sagt er SPIEGEL ONLINE. "Denn wir sehen nach wie vor Spam-Nachrichten im Netz, die charakteristisch sind für E-Mails von Waledac-Bots." Die Verantwortlichen bei Microsoft sagten dazu, man nehme Fergusons Beobachtung sehr ernst und wolle die eigenen Analysen nochmals studieren.

Die deutschen Botnetz-Spezialisten jedenfalls sind sich sicher, dass der eingeschlagene Weg der richtige ist. "Die Kombination aus rechtlicher Handhabe und gleichzeitigen technischen Maßnahmen ist beispiellos effizient", sagt Ben Stock. Vor allem das Entfernen der Einträge aus dem Domain Name System (DNS) des Internets dürfte wirksam sein, weil selbst ausgefuchste Botnetze dann nicht kommunizieren können. "Sollten die Botnetz-Betreiber jedoch einen Weg finden, diese Sperren zu umgehen - dann droht uns eine Generation von mächtigen und extrem unangenehmen Schädlingen", sagt Thorsten Holz.



insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
TeaRex 09.03.2010
1. Amateure unter sich
Früher durfte z.B. ans Telefonnetz nur angeschlossen werden, was von der Post zugelassen wurde. Begründung: andere Geräte könnten die Kommunikation im Netz stören. Warum darf ans Internet jeder Schrott angeschlossen werden. Gasherde dürfen nur vom Fachmann angeschlossen werden. Warum darf jeder Computer anschließen? Wäre doch ein neuer Beruf: staatlich geprüfter Computeranschließer. Er scannt den Rechner, spielt die nötigen Updates drauf, guckt dass automatische Updates für Windows und Virenschutz eingeschaltet sind. Wer es doch selber machen will, müsste beim TÜV so 'ne Art Computer-Sicherheits-Führerscheinprüfung ablegen.
hoppy 10.03.2010
2. unethisch?
Ich sehe ein, daß es rechtliche Bedenken dagegen gibt, die Trojaner auf den infizierten Rechnern per Software- "Update" zu zerstören — aber mal ganz im Ernst: Was ist daran denn unethisch?
sqrtsben 10.03.2010
3. White Hat?
Zitat von hoppyIch sehe ein, daß es rechtliche Bedenken dagegen gibt, die Trojaner auf den infizierten Rechnern per Software- "Update" zu zerstören — aber mal ganz im Ernst: Was ist daran denn unethisch?
Die Ausführung fremden Codes auf einem Rechner, ohne dass der Benutzer etwas davon weiß geht absolut gegen jede Ethik und Moral. Immerhin möchte man ja besser sein als die Botherder, die ja selbiges tun.
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.