Peer-to-Peer-Bot-Netz mit mehr als 40.000 infizierten Rechnern in einer konzertierten Aktion zerschlagen

Kaspersky Lab, Microsoft und Kyrus Tech eliminieren Hlux/Kelihos-Bot-Netz

(06.10.11) - Kaspersky Lab, Microsoft und Kyrus Tech haben in enger Kooperation die Kontrolle über das gefährliche Peer-to-Peer-Bot-Netz "Hlux", auch bekannt als "Kelihos", übernommen. Das Zombie-Netz war vor allem für Spam-Versand, den Diebstahl sensibler Finanzinformationen und DDoS-Attacken verantwortlich. Microsoft hat gegen 24 Hintermänner des Bot-Netzes juristische Schritte eingeleitet, um die Command-and-Control-Domains des Bot-Netzes stillzulegen.

Kaspersky Lab und Kyrus Tech konnten dabei vor allem ihre technische Expertise einbringen. Beim Abschalten des Bot-Netzes unterstützte Kaspersky Lab Microsoft unter anderem bei der Analyse der Kommunikationsprotokolle und bei der Entwicklung von Werkzeugen, mit denen die Peer-to-Peer-Infrastruktur des Bot-Netzes aufgebrochen werden konnte. Zudem stellte Kaspersky Lab sein Live-Bot-Netz-Tracking-System zur Verfügung.

"Kaspersky Lab spielte bei der Zerschlagungsoperation eine Schlüsselrolle, indem sie uns wichtiges Insiderwissen basierend auf ihren technischen Analysen und ihrer Expertise über Kelihos zur Verfügung stellten", sagte Richard Boscovich, Senior Attorney bei Microsoft Digital Crimes Unit. "Dadurch konnten wir gemeinsam einen tollen Erfolg verbuchen und haben weitere Erkenntnisse bei der Analyse und der Struktur von Bot-Netzen gewonnen. Wird sind über diese Unterstützung sehr dankbar."

Durch das so genannte Sinkholing, ein Untergraben des Bot-Netzes, existiert der Verbund von Zombie-Rechnern zwar noch, wird aber von Kaspersky Lab und Microsoft kontrolliert. Derzeit verbinden sich pro Minute etwa 3.000 Hosts mit dem Sinkhole. Hlux kann allerdings nur dauerhaft ausgeschaltet werden, wenn alle mit Hlux infizierten Maschinen gesäubert werden. Dazu fügte das Malware Protection Center von Microsoft bereits ein Entdeckungsprogramm für Kelihos zu seinem Malicious Software Removal Tool hinzu. Durch die Aktionen sollte die Anzahl infizierter Computer in nächster Zeit spürbar sinken.

"Seit unserer Sinkholing-Operation am 26. September ist das Bot-Netz außer Betrieb. Da mittlerweile die Bots mit unseren Maschinen kommunizieren, können wir über so genanntes Data-Mining beispielsweise die Infizierungen pro Land nachvollziehen. Bisher konnten wir 40.000 infizierte Rechner identifizieren und über die jeweiligen ISPs die Netzwerk-Besitzer über die Infektionen informieren", sagt Tillmann Werner, Senior Virus Analyst bei Kaspersky Lab.

Kaspersky Lab und Microsoft arbeiten in punkto IT-Sicherheit bereits seit geraumer Zeit zusammen. Dazu gehört die erfolgreiche Zusammenarbeit bei der Analyse des Stuxnet-Wurms, der industrielle Kontrollsysteme, die zum Beispiel beim Nuklearprogramm des Iran eingesetzt werden, attackierte. (Kaspersky: ra)