• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Tools
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Unterhaltung
  • Bild und Film
  • Ton und Musik
  • Mobile Endgeräte
  • PC und N-books
  • Internet
  • Spiele
  • Roboter
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.
• Chat
  • Anleitungen
  • Webchat
  • Channelstats
  • Zitate

Botnets: Nach kurzem Einbruch spamt es kräftig weiter

Über 90% der E-Mails sind Spam. Die Anzahl der weltweit versendeten Spam-Mails sank beträchtlich, nachdem vor zwei Wochen die Server des verdächtigen Web-Hosters McColo u.a. durch DDos-Angriffe lahm gelegt wurden. Nun steigt die Zahl der nervigen Spam-Emails wieder an. Wer spamt da eigentlich?

McColo war für den Versand von Zweidrittel aller Spam-Mails weltweit verantwortlich. Die beiden wichtigsten Internetprovider von McColo (Global Crossing und Hurricane Electric) drehten am 11. November 2008 dem kalifornischen Hoster das Licht aus, nachdem Sicherheitsexperten auf die illegalen Machenschaften bei McColo aufmerksam gemacht hatten (gulli berichtete).

Einige der 450.000 infizierten Computer, die zum "Zombie" umgewandelt, Teil der Botnets wurden, hinderte man daran, sich mit dem größten, bei McColo gehosteten Netzwerk, zu verbinden. Schlagartig sank der Spamversand weltweit um 75%.

Zusätzlich zu den zwei oben genannten Internetprovidern, die den Stecker zogen, kamen noch DDos-Angriffe hinzu, die McColo letztlich in die Knie zwangen. Viele Internetseitenbetreiber hatten unter diesen Angriffen zu leiden. Betroffene, wie z.B. InternetX, meinten hierzu, dass durch den extrem aggressiven Charakter der DDoS bereits "Carrier in Mitleidenschaft gezogen" und "Backbonestörungen verursacht" wurden.

Die McColo-Abkopplung bewirkte ein Fallen des Spamversands, nach dem Start der DDoS-Angriffe, fiel die Zahl der Spam-Quellen sogar auf ein Jahrestief. Ab Montag stiegen sie jedoch wieder an.

Ein Flow-Chart der Washington Post (Übersicht: Klick für große Darstellung) zeigt McColos Verstrickung in die Botnet-Aktivität, Beziehungen zu Spam- und Pharma-Domains. Die Grafik wurde mit der Mind-Mapping-Software FreeMind erstellt, ein hilfreicher Knecht beim Aufdecken von Quellen.

Industrie-Experten sind sich einig darüber, dass die Zahl der Spam-Mails bald wieder den vorherigen Pegel erreichen wird.

Andere, wie zum Beispiel Joe Stewart, der Direktor der Malware-Forschung für die in Atlanta beheimatete Firma SecureWorks, sagen, dass unter den Internetadressen, die bei McColo gehostet sind, einige der aktivsten und berüchtigsten  Spam-Schleudern zu finden sind - z.B. unter anderem Dutzende von gefälschten Apotheken Domains.

In jedem Fall sind die Spamer wieder auf dem Vormarsch.

McColo diente als Hausadresse für eine Reihe von Befehlszentralen ("command and control"-Zentren) für Botnets.

Mit dem zeitweiligen Herunterfahren von McColo wurden diese Botnets unkontrollierbar. Ihre Besitzer sind nun auf der Jagd nach neuen Hosts und Bandbreite. Aber die Bots bleiben mit der Malware infiziert, die sie rekrutiert hat und werden bald neu aktiviert werden.

Das Internet-Security-Unternehmen FireEye hat angedeutet, dass einige der 450.000 infizierten Computer aus dem Botnetz Srizbi, die angeblich verantwortlich sind, für die Hälfte aller Spam-Mails auf der Erde - versuchen, "zu Hause anzurufen", um ihre Kommando- und Kontrollstation zu kontaktieren.

Das Srizbi Netz wurde von Marshal, einer amerikanischen Internet-Sicherheitsfirma,  als das größte Botnet der Welt identifiziert.

Der Washington Post zu Folge, die die Abschaltung von McColo durch eigene Untersuchungen und Recherchen aufklären will, sind die Srizbi Bots durch eine mathematischen Formel geschützt worden, die sie nach einer Abschaltung dazu auffordern, eine bestimmte eindeutige Internet-Adresse aufzurufen, auf der sie nach einem Update ihrer Befehlszentrale suchen.

Das deutet darauf hin, dass die Eigentümer von Srizbi nur eine neue Web-Hosting-Firma finden müssen, dort muss eine Website aufgesetzt werden, mit der uniquen IP-Adresse, die die Zombies kontaktieren und schwups sind die Botnets wieder voll funktionsfähig.

MessageLabs berichtet, dass ein anderes großes Botnet, genannt Cutwail, unberührt von McColos Unerreichbarkeit, seine Anstrengungen zeitgleich vergrößert hat, das "Spam-Vakuum" der letzten Wochen zu füllen.

Kommentar: Wer hinter dem Aufspüren von McColo steht, ist bisher ungeklärt, bei heise war zu lesen, dass es sich um eine "privat" angeschobene Aktion handelte, bei Marshal liest man, dass es ein Journalist war, der einen entscheidenden Hinweis lieferte, dass bei McColo ein Botnet aktiv illegal genutzt wurde. Steckt hinter den kriminellen Angriffen der Wechsel der Spam-Chefs? Nur eine Handvoll Botnets (die größten drei davon sind Srizbi, Mega-D and Rustock, alle mit Verbindung zu McColo) sollen für 90% des weltweiten Massenspams verantwortlich sein. Was hier passiert sind Verteilungskämpfe. Der Kuchen muss (neu) aufgeteilt werden. Wer spamt verdient. (double screening)

(via BBC technology Danke!)

(Bildquelle nixspam Danke!)

News Redaktion am Donnerstag, 27.11.2008 16:26 Uhr

Tags: spam mccolo srizbi botnet fireeye global crossing hurricane electric internetx mega-d and rustock secureworks