Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
April 2009
  19.04.2009 Botnetze
19.04.2009 Malware
zurück zum Verweis zur nächsten Überschrift kommerzialisierte Cybercrime Rootkit im Bootsektor
 

 
 
Waledac ist ein multifunktionaler Spambot, also ein Schädling zum Versand von Spam-Mails. Waledac kann zum Beispiel beliebige Dateien aus dem Web herunter laden und starten, Mail-Adressen auf dem infizierten PC einsammeln, DoS-Angriffe starten sowie Datenverkehr und Passwörter ausspionieren. ...
 
Die Macher von Waledac betreiben jedoch auch ein Partnerprogramm (englisch: Affiliate). Andere Malware, deren Hintermänner mutmaßlich für die Nutzung zahlen, installiert den Spambot auf infizierten Rechnern. So etwa "Bredolab", der dafür bekannt ist diverse Schädlinge zu installieren, etwa bekannte Spambots wie "Rustock", "Srizbi" oder "Cutwail". (1)
 

 

 
Moderne Botnetze werden nicht nur immer raffinierter und gefährlicher. Sie dienen immer häufiger und offener geschäftlichen Zwecken und bestätigen die organisierte Arbeitsteilung, die ich bislang nur aus vereinzelten Puzzleteilen abgeleitet habe. Auch als sicher geglaubte Betriebssysteme werden inzwischen befallen [ (2) und ].

Die Meldung bei , die links auszugsweise wiedergegeben wird (1), zeigt einmal mehr, wie offen sich die Cybercrime inzwischen verhält und wie unangreifbar sich ihre Akteure fühlen müssen. Sie bestätigt auch die vom Russian Business Network - RBN - bekannte Strategie, mit Partnern aus der Adware-Szene zusammen zu arbeiten, um zu Geld zu kommen. Darauf hat zuletzt McAfee in seiner Studie zum Social Engineering hingewiesen.
 

 
Mebroot ist ein Rootkit, das zur Tarnung von Malware und zur Abwehr von Antiviren-Software dient. In seiner neuesten Version dringt es so tief in den Kern von dem Windows-Betriebssystem ein, dass Antiviren-Fachleute befürchten, mit ihren Werkzeugen nicht mehr an es heran zu kommen (3).

Es nistet sich in den  Master Boot Record -  MBR - ein, also in die Startpartition der Festplatte.

Mebroot infiziert nicht nur den MBR, es klinkt sich auch in grundlegende Funktionen des Windows-Kerns ein und manipuliert sie. Versucht ein Windows-Programm, etwa ein Virenscanner, auf den MBR zuzugreifen, präsentiert Mebroot einen perfekt sauberen Master Boot Record.

Die dort gespeicherte Startroutine sollte nun eigentlich das Betriebssystem, meist Windows, starten. Mebroot jedoch manipuliert zunächst den Windows-Kern, bevor es ihn startet.
 

zurück zum Verweis Anmerkungen
 


(1) Malware versucht sich an Partnerprogrammen, tecchannel 16.04.2009

(2) Erstmals Botnetz auf Mac-OS entdeckt, tecchannel 18.04.2009
Mac-Wurm: Bitte leiten sie mich weiter, Heise online 08.05.2009
 

 
(3) Neues Rootkit gräbt sich tief ein, tecchannel 17.04.2009
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 29.07.2009