{"id":171310,"date":"2015-12-06T01:58:00","date_gmt":"2015-12-06T00:58:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=171310"},"modified":"2022-05-28T05:01:56","modified_gmt":"2022-05-28T03:01:56","slug":"abschaltversuch-des-dorkbot-botnetzes","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/12\/06\/abschaltversuch-des-dorkbot-botnetzes\/","title":{"rendered":"Abschaltversuch des Dorkbot-Botnetzes"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" alt=\"\" align=\"left\" \/>Mehr als 1 Million Rechner sind weltweit durch Malware aus der <a href=\"http:\/\/www.virusradar.com\/en\/Win32_Dorkbot\/detail\" target=\"_blank\" rel=\"noopener\">Win32\/Dorkbot<\/a>-Familie infiziert. Nun gab es wieder einen Versuch, dieses Botnetz auszuheben und die Control-Server abzuschalten.<\/p>\n<p><!--more--><\/p>\n<p>Ich habe die Info \u00fcber ESET erhalten (auf denen ich den nachfolgenden Text aufgebaut habe). Aber auch bei microsoft-news.com findet sich <a href=\"https:\/\/web.archive.org\/web\/20151207033742\/http:\/\/microsoft-news.com:80\/microsoft-helps-fbi-others-shut-darkbot-botnets-servers-affected-millions-pcs\/\" target=\"_blank\" rel=\"noopener\">dieser Artikel<\/a>, der wohl auf eine Info von Microsoft zur\u00fcckgeht. Aber Achtung, die schreiben von einem Darkbot-Netz, welches \"abgeschaltet\" worden sei. Ganz so ist es wohl nicht. Bei n-tv habe ich im Rahmen der Recherche einen <a href=\"http:\/\/www.n-tv.de\/technik\/Weltweiter-Schlag-gegen-Botnetze-article16505196.html\" target=\"_blank\" rel=\"noopener\">weiteren Artikel<\/a> zum Thema gefunden, der etwas akkurater ist.<\/p>\n<h3>Gemeinsame Aktion gegen das Botnetz<\/h3>\n<p>Fakt ist, dass es eine konzertierte Aktion von Sicherheits-Experten diverser Firmen, u.a. ESET und Microsoft, sowie Beh\u00f6rden aus der ganzen Welt (z.B. FBI, Homeland Security etc.) gab. Das Botnet, das bereits unz\u00e4hlige PCs in mehr als 200 L\u00e4ndern infiziert hat, konnte durch diese kombinierte Kollektiv-Gegenoffensive effektiv gest\u00f6rt werden.<\/p>\n<p>Die Aktion wird l\u00e4nder\u00fcbergreifend von zahlreichen Beh\u00f6rden getragen \u2013 an der Spitze das FBI, Interpol und Europol. Ziel ist die Eliminierung der <a href=\"http:\/\/virusradar.com\/en\/Win32_Dorkbot\/detail\" target=\"_blank\" rel=\"noopener\">Dorkbot<\/a>-Infrastruktur, zu der auch Command and Control-Server (C&amp;C) in Asien, Europa und Nordamerika z\u00e4hlen. Im Zuge der Operation wurden ebenfalls diverse Domains aus dem Verkehr gezogen. Damit wurden die M\u00f6glichkeiten der kriminellen Drahtzieher des Botnets erheblich vermindert, Kontrolle \u00fcber die Rechner ihrer Opfer auszu\u00fcben.<\/p>\n<h3>Alter Bekannter zeigt sich wandlungsf\u00e4hig<\/h3>\n<p>Dorkbot ist ein weit verbreitetes <a href=\"http:\/\/virusradar.com\/en\/glossary\/botnet\" target=\"_blank\" rel=\"noopener\">Botnet<\/a> auf Basis von Win32\/Dorkbot-Malware und ist bereits <a href=\"https:\/\/web.archive.org\/web\/20160927133119\/http:\/\/www.welivesecurity.com\/2012\/12\/13\/dorkbot-romance-with-latin-america\/\" target=\"_blank\" rel=\"noopener\">seit einigen Jahren<\/a> in st\u00e4ndig wandelnder Form aktiv. ESET verfolgt die Ausbreitung des Botnetzes sowie die ver\u00e4nderte Struktur der Schadsoftware in den weltweiten Virenlaboren und hat aktuelle Entwicklungen bereits mehrmals auf seinem Security-Blog WeLiveSecurity aufgegriffen. Nachfolgende Grafik zeigt die HeatMap des Microsoft Security-Portals mit der Ausbreitung der Schadsoftware.<\/p>\n<p><a href=\"http:\/\/web.archive.org\/web\/20161015232226\/http:\/\/www.microsoft.com\/security\/portal\/blog-images\/c\/db3.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/web.archive.org\/web\/20161015232226\/http:\/\/www.microsoft.com\/security\/portal\/blog-images\/c\/db3.png\" alt=\"\" width=\"630\" height=\"471\" \/><\/a><br \/>\n(Quelle: Microsoft)<\/p>\n<p>&nbsp;<\/p>\n<p>Vor allem beim \u00d6ffnen von unbekannten Dateien, die sich auf Wechseldatentr\u00e4gern befinden oder \u00fcber E-Mails und soziale Netzwerke verschickt werden, sollten Nutzer vorsichtig sein. Das Botnet verbreitet sich \u00fcber unterschiedliche Kan\u00e4le, zum Beispiel \u00fcber soziale Netzwerke, Spam-Mails, Wechseldatentr\u00e4ger und Exploit Kits.<\/p>\n<p>Ist die Malware einmal installiert versucht sie, die Security-Software auf dem infizierten Rechner zu st\u00f6ren, indem der Zugang zu den Update-Servern blockiert wird. Anschlie\u00dfend nimmt Dorkbot Kontakt zu einem IRC-Server auf, von dem weitere Befehle folgen.<\/p>\n<h3>Malware sp\u00e4ht Passw\u00f6rter aus<\/h3>\n<p>Dabei stiehlt Dorkbot nicht nur Passw\u00f6rter bei weit verbreiteten Online-Diensten wie Facebook und Twitter. Typischerweise installiert es auch den Code von einer oder mehreren Malware-St\u00e4mmen, nachdem es die Kontrolle \u00fcber das System \u00fcbernommen hat. Dazu geh\u00f6ren in erster Linie <a href=\"http:\/\/www.virusradar.com\/en\/Win32_Kasidet.AA\/description\" target=\"_blank\" rel=\"noopener\">Win32\/Kasidet<\/a>, eine Malware speziell f\u00fcr DDoS-Attacken (auch als \u201eNeutrino Bot\" bekannt) sowie <a href=\"http:\/\/www.virusradar.com\/en\/Win32_Lethic.AA\/description\" target=\"_blank\" rel=\"noopener\">Win32\/Lethic<\/a>, ein bekannter Spambot.<\/p>\n<h3>Kostenloader Dorkbot Cleaner von ESET<\/h3>\n<p>Derzeit erkennen die Security-Produkte von ESET (und wohl auch anderer Hersteller \u2013 Microsoft listet <a href=\"https:\/\/web.archive.org\/web\/20170423063222\/https:\/\/www.microsoft.com\/security\/portal\/threat\/encyclopedia\/entry.aspx?Name=Win32%2FDorkbot\" target=\"_blank\" rel=\"noopener\">Win32\/Dorkbot<\/a> im Malware Protection Center auf) tausende unterschiedliche Varianten der Dorkbot-Module, die zusammen mit verschiedenen Malware-Arten \u00fcber das Botnet verbreitet werden. ESET beobachtet w\u00f6chentlich tausende F\u00e4lle von Neuinfektionen durch Dorkbot.<\/p>\n<p>Wer als Nutzer den Verdacht hegt, dass sein System von Dorkbot befallen sein k\u00f6nnte, kann seinen Rechner mit dem kostenlosen Dorkbot Cleaner von ESET gr\u00fcndlich scannen lassen. Um es gar nicht erst so weit kommen zu lassen, ist eine aktive Security-Software Pflicht. Antiviren-L\u00f6sungen von ESET sch\u00fctzen die Anwender vor allen bekannten Varianten der Dorkbot-Module.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mehr als 1 Million Rechner sind weltweit durch Malware aus der Win32\/Dorkbot-Familie infiziert. Nun gab es wieder einen Versuch, dieses Botnetz auszuheben und die Control-Server abzuschalten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[161],"tags":[2272,4313,4642],"class_list":["post-171310","post","type-post","status-publish","format-standard","hentry","category-virenschutz","tag-botnet","tag-virenschutz","tag-win32dorkbot"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/171310","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=171310"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/171310\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=171310"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=171310"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=171310"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}