Microsoft findet Malware auf fabrikneuen Computern in China

Microsoft hat auf fabrikneuen Computern, die Mitarbeiter in verschiedenen Städten Chinas gekauft haben, Schadprogramme gefunden. Forscher des Unternehmens stießen dadurch auf ein Botnetz namens „Nitol“. Inzwischen darf der Softwarekonzern laut einem Gerichtsbeschluss technische Maßnahmen zur Schließung des Botnetzes ergreifen.

Die als „Operation b70“ bezeichnete Aktion begann nach Unternehmensangaben im August 2011. Microsoft habe die Testkäufe durchgeführt, um Vorwürfe zu überprüfen, wonach auf Computern in China Malware und gefälschte Software installiert werden, bevor sie in den Handel gelangen. „Wir wollten eine Probe von dem, was ein durchschnittlicher Verbraucher in China erhält“, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crime Unit, im Gespräch mit News.com. „Wir waren überrascht, wie schnell wir etwas fanden, das unseren Verdacht stützte.“

Auf vier von insgesamt 20 Computern entdeckten die Forscher Malware, die unter anderem in der Lage ist, sich per USB-Stick zu verbreiten. Auf einem Rechner fand sich der Nitol-Trojaner, der eine Hintertür installiert und so den Aufbau eines Botnets und den Versand von Spam ermöglicht. Ein weiterer Computer wies die Backdoor „Trafog“ auf, die einem Angreifer den Zugriff per File Transfer Protocol (FTP) erlaubt. Auf den anderen beiden Maschinen waren die Schädlinge „Malat“ und „EggDrop“ installiert. Letzteren beschreibt Microsoft in einem Blogeintrag als eher verdächtiges und nicht unbedingt schädliches Programm.

Bis auf Nitol sei alle Malware allerdings nicht aktiv gewesen, erklärte Microsoft. Nitol verbinde sich mit einem Befehlsserver unter einer Domain, die dem chinesischen Unternehmen 3322.org gehöre. Boscovich zufolge steht die Domain seit 2008 im Zusammenhang mit verdächtigen Aktivitäten.

Diese Woche erhielt Microsoft von einem US-Bundesgericht in Virginia die Erlaubnis, mithilfe der sogenannten „Sinkhole“-Technik infizierte Computer dazu zu bringen, mit von Microsoft kontrollierten Servern statt mit den Befehlsservern der Hacker zu kommunizieren. Derzeit würden über fast 70.000 Subdomains mehr als 565 unterschiedliche Arten von Malware verteilt, so Boscovich weiter. Darunter seien Programme, die Mikrofone und Kameras einschalten, Tastatureingaben aufzeichnen und Daten stehlen könnten.

Inzwischen leitet die Public Internet Registry, Registrar für alle .org-Domains, die Domain 3322.org, die das Botnetz Nitol hostet, auf DNS-Server von Microsoft um. Das ermöglicht es dem Unternehmen, den Betrieb von Nitol zu blockieren, ohne dass legitime Subdomains gestört werden.

Zum Problem der vorinstallierten Malware in China sagte Boscovich, der Gesetzgeber müsse die vorhandenen Probleme erkennen und die Sicherheit der Lieferkette in China garantieren. „Offenbar wird das Betriebssystem irgendwo zwischen dem Großhändler und dem Einzelhändler installiert und es ist möglich, dass die Malware irgendwo dazwischen eingeschleust wird.“

[mit Material von Elinor Mills, News.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago