Storm Worm Forscher untersuchen Botnet von innen

Das Storm-Botnet war lange Zeit eines der größten und aktivsten Botnets überhaupt. Nun gingen Forscher der Frage nach, wie es um die Wirtschaftlichkeit von Storm bestellt war: Wie genau machten die Betreiber des Botnets Gewinn und wie viel kam dabei zusammen?

Das Ergebnis kann sich durchaus sehen lassen. Zwar resultieren nur die wenigsten Spam-Mails wirklich im Verkauf der angepriesenen Produkte, doch durch die enorme Menge an versendeten E-Mails kommen trotzdem recht ansehnliche Gewinne zusammen. Genau darauf basiert das Geschäftsprinzip der Spam-Industrie - was IT-Sicherheitsforscher Stefan Savage und sein Team nun mit konkreten Zahlen belegen können.

Für an IT-Sicherheit interessierte Menschen fast ebenso interessant wie die Ergebnisse der Forschung ist die Vorgehensweise des Teams von der University of California-San Diego. Um ihre Studie durchzuführen, übernahmen Savage und seine Kollegen zeitweise die Kontrolle über einen Teil des Botnets. Insgesamt hatten sie 75,869 Bots in ihrer Gewalt, wobei viele natürlich aufgrund der Fluktuation innerhalb eines solchen Netzes nur einmal oder nur wenige Male Kontakt zum Kontrollserver aufnahmen.

Um Schaden von potenziellen Käufern fernzuhalten, aber trotzdem aussagekräftige Ergebnisse zu erhalten, wurden die Käufer auf eine Website des Forscherteams umgeleitet. Diese sah zwar denen, die Storm normalerweise zu diesem Zweck verwendet, ähnlich, gab aber Fehlermeldungen aus, wenn ein Besucher versuchte, persönliche Daten einzugeben oder Finanztransaktionen durchzuführen.

Insgesamt analysierten die Forscher für ihre Studie 469 Millionen E-Mails. Unter anderem wollten sie herausfinden, wie viele der Spam-Mails tatsächlich dafür sorgen, dass jemand das beworbene Produkt kauft. Das auf den ersten Blick wenig beeindruckend wirkende Ergebnis: Nach dem Versand von 350 Millionen Emails über einen Zeitraum von 26 Tagen hatten sich lediglich 28 Käufer für die angebotenen "male enhancement products" (in der deutschen Umgangssprache meist als "Penisverlängerung" tituliert) im Wert von knapp 100 Dollar pro Stück gemeldet. Das entspricht unter 0.00001 der Empfänger und einem Profit von etwas weniger als 100 Dollar pro Tag.

Das mag sich zunächst wenig anhören. Allerdings hat die Spam-Industrie längst ihre Antwort auf den eher geringen Enthusiasmus potenzieller Käufer gefunden: extreme Massen von Mails. Savage und sein Team gehen davon aus, dass sie nur ungefähr 1,5 Prozent des Storm-Botnets unter ihrer Kontrolle hatten. Auf das ganze Netz bezogen wirken die Gewinne dann schon wesentlich beeindruckender: Schätzungsweise 7000 Dollar am Tag soll das Botnet seinen Betreibern im Durchschnitt eingebracht haben. Das entspricht ungefähr einem Umsatz von 3,5 Millionen Dollar im Jahr.

Als Lösungsvorschlag für das Spam-Problem nannte das Forscherteam daher die Möglichkeit, für die Spammer zusätzliche Kosten zu verursachen. Das würde sie aufgrund ihres Geschäftsmodells empfindlich treffen. Genaue Strategien, wie so etwas durchgeführt werden kann, ohne auch alle anderen Nutzer von Internet und E-Mail zu beeinträchtigen, nannten die Forscher allerdings keine.

Auch wenn Storm momentan weniger aktiv zu sein scheint als noch vor kurzem ist das Spam-Problem insgesamt unvermindert groß. Über 98 Prozent aller E-Mails sind nach Einschätzung von Fachleuten mittlerweile Spam. Um dieser Problematik Herr zu werden, sind umfassende Software-Maßnahmen wie Filter und Blacklists, oft aber auch eine Aufrüstung der verwendeten Hardware erforderlich. IT-Sicherheits-Experten verwenden viel Kreativität und Arbeitszeit darauf, Provider und Benutzer vor der Spam-Lawine zu schützen. (Annika Kremer)

(via Ars Technica, thx)

• 11 Kommentare zum Artikel

soweit ich das gelesen habe verdienten die Forscher kein Geld damit. Zum Abschalten hätte man die Wurm-Clients auf den Rechnern der Benutzer deaktivieren müssen, was auf Grund dessen, das die Forscher keinen Einblick in den Quellcode haben, die Gefahr birgt, dass sie den Client-Computern schaden.

FreeForSure am 11.11.2008 21:52

Zitat: Zitat von carlitoman89  Guckt euch das mal an! Ist voll der Hammer! http://www.... nu Ich hab da zwar nicht hingeschaut aber aufgrund der Domainzusammensetzung schaut das für mich eindeutig nach nem Versuch von Phisching aus, falsch ich falsch liege berichtige mich => Mods bitte überprüfen

FreeForSure am 11.11.2008 21:57

Da trifft der Spruch: "Kleinvieh macht auch Mist" wohl sehr gut zu. Auch wenn nur ganz wenige darauf reinfallen.

gS- am 12.11.2008 07:29

Das fasst es gut zusammen, ja.

Annika_Kremer am 12.11.2008 17:10

[...] Diskussion lesen oder Artikel kommentieren