Botnetz Kelihos abgeschaltet

Forschern von CrowdStrike ist es gelungen, die im Februar entdeckte Neuauflage des Botnetzes Kelihos abzustellen. Dafür nutzten sie den Peer-to-peer-Mechanismus, mit dem das Netz Informationen weiterverteilt. Sie berichten auch, dass das zweite Kelihos ungefähr dreimal so groß war wie sein Vorgänger.


Das neue Kelihos und sein Vorgänger im Größenvergleich (Infografik: CrowdStrike)

CrowdStrike arbeitete in dieser Sache mit Kaspersky Lab, Dell Secureworks und dem Honeynet Project zusammen. Es führte ein Reverse Engineering des Codes durch und erstellte eine eigene Variante der Software. So war es möglich, die Kommunikation der Bots an Sicherheitsforscher und Polizeikräfte umzulenken, statt dass sie die Kriminellen bedienten. Kelihos versandte vor allem Spam für ein kanadisches Pharmaprodukt, stahl aber auch die virtuelle Währung Bitcoins.

„Vergangene Woche wurde begonnen, Kelihos.B über den Peer-to-peer-Mechanismus zu vergiften. Binnen Minuten waren wir mit 110.000 infizierten Rechnern in Kontakt“, berichtet Adam Meyers von CrowdStrike. „Das ist schon cool, dass wir eine der Eigenschaften des Botnetzes, seine P2P-Kommunikation, gegen es verwenden konnten.“

Der manipulierte Code ging zunächst an ausgewählte Systeme, die ihn anschließend wie vorgesehen weiterverbreiteten – wie ein Virus. „Irgendwann übernimmt der Code das Netzwerk und die Verbrecher verlieren die Kontrolle“, sagt Meyers. Es sammelt nun noch Daten wie IP-Adresse und Betriebssystem der infizierten PCs. Demnach war das verbreitetste Betriebssystem Windows 7, aber noch ohne Service Pack 1, knapp vor Windows XP mit je über 9000 Systemen.

Die Kommandoserver von Kelihos standen CrowdStrike zufolge in Schweden, Russland und der Ukraine. Zwei Tage, nachdem der manipulierte Code eingeschleust worden war, gaben die Betreiber ihre Infrastruktur auf.

Das erste Kelihos-Netz hatte Microsoft im Oktober 2011 mit einer ähnlichen Methode gestoppt. Es war damals rund 41.000 Bots stark. Ebenfalls Microsoft konnte diese Woche schon melden, dass US-Behörden auf seine Tipps hin die Kommandoserver des Botnetzes Zeus abgestellt hatten.

[mit Material von Elinor Mills, News.com]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago