Microsoft geht gegen Autoren von Bladabindi und Jenxcus vor

Microsofts Digital Crimes Unit hat eine Zivilklage gegen eine Personengruppe eingereicht, die sie für eine internationale Malware-Verschwörung hält. Sie richtet sich konkret gegen zwei namentlich genannte Einzelpersonen, einen US-Anbieter von DNS-Diensten und 500 Unbekannte.

Die Firma nennt sich Vitalwerks Internet Solutions, LLC und ist unter der Domain No-IP.com zu finden. No-IP heißt auch ihr dynamischer DNS-Dienst, der normalerweise dazu dient, dass Nutzer mit dynamischen IP-Adressen per DNS gefunden werden. Allerdings lässt sich die Technik auch einsetzen, um Systeme zu verbergen und Malware zu verteilen, wie es hier der Fall gewesen sein soll.

Microsoft zufolge waren vor allem die Malware-Familien Bladabindi (NJrat) und Jenxcus (NJw0rm) auf No-IP-Domains zu finden. Außerdem setzen 93 Prozent aller Infektionen mit Bladabindi-Jenxcus, die überhaupt dynamisches DNS verwenden, No-IP ein.

Die beiden namentlich bekannten Beklagten sind Mohamed Benabdellah und Naser Al Mutairi mit kuwaitischem beziehungsweise algerischem Pass – laut Microsoft die Autoren und Verteiler von Bladabindi und Jenxcus. Über sein Tool zum Entfernen bösartiger Software und Security Essentials hat Microsoft im vergangenen Jahr 7,4 Millionen Infektionen mit Bladabindi-Jenxcus beobachtet.

Microsoft wirft No-IP-com vor, von dem Problem gewusst, aber nichts unternommen zu haben. Dabei habe etwa auch Ciscos Security-Blog im Februar auf Missbrauch von dynamischem DNS und insbesondere No-IP hingewiesen. Ein US-Bezirksgericht in Nevada hat Microsoft bereits am 26. Juni DNS-Kontrolle über die Domains von No-IP erteilt. Das Unternehmen sammelt nun weitere Daten zu den Angriffen und plant, ISPs über spezielle Problemfälle in ihrem Bereich zu informieren.

Einem Unternehmensblog zufolge hat Microsoft die Kontrolle über die 22 wichtigsten Domains von No-IP.com. Das betroffene Unternehmen selbst teilt mit, es sei von der Aktion vollkommen überrascht worden. Microsoft habe nie irgendwelche Probleme angesprochen. Schon oft habe No-IP „mit anderen Firmen zusammengearbeitet, wenn uns vermutete bösartige Aktivitäten berichtet wurden“.

No-IP.com zufolge sind außerdem viele seiner Kunden von Ausfällen betroffen, auch wenn Microsoft behaupte, es filtere nur die Hostnamen aus, über die Malware verteilt werde. „Offenbar ist die Microsoft-Infrastruktur nicht in der Lage, die Milliarden Anfragen unserer Kunden abzuwickeln. Millionen unschuldige Anwender erleben Diensteausfälle, weil Microsoft versucht, die mit einigen wenigen zwielichtigen Akteuren verbundenen Hostnamen zu korrigieren.“

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de