Ein aus über neun Millionen Rechnern bestehenden Botnetz wurde von Microsoft in jahrelanger Vorarbeit zerstört. Ob ein Rechner infiziert ist, lässt sich nur schwer feststellen.
Microsoft ist es gemeinsam mit Partnern aus 35 Ländern gelungen, das gefährliche Botnet Necurs weitgehend zu zerstören. Mit koordinierten rechtlichen und technischen Maßnahmen habe man dafür gesorgt, dass die Kriminellen nicht mehr länger auf zentrale Teile der Infrastruktur des aktivsten Botnets der Welt zurückgreifen können, teilte das Unternehmen in Redmond mit.
Das Necurs-Botnet soll aus über neun Millionen Rechnern bestanden haben. Es gilt als eines der größten Netzwerke für den Versand von Spam-E-Mails etwa zu falschen Pharma-Produkten oder russischen Datingangeboten. Ein einzelner mit Necurs infizierter Computer habe allein insgesamt 3,8 Millionen Spam-E-Mails verschickt.
Was ist ein Botnetz?
Im Fachjargon ist mit Bot ein Programm gemeint, das ferngesteuert auf Ihrem PC arbeitet. Von Botnetzen spricht man dann, wenn sehr viele PCs – meist Tausende – per Fernsteuerung zusammengeschlossen und zu bestimmten Aktionen missbraucht werden. Auch mobile Geräte können Teil eines Botnetzes werden. Voraussetzung ist, dass der Rechner online ist.
Die Nutzer wissen meist nicht, dass ihr Rechner Teil eines solchen Netzwerks ist. Angreifer nutzen dabei Schwachstellen in Betriebssystemen von Microsoft und Android. Doch Benutzer anderer Systeme können auch betroffen sein.
Kriminelle nutzten Necurs für die Verbreitung von Trojanern wie GameOver Zeus oder sogenannten "Pump and Dump"-Aktienscams. Dabei werden bestimmte Aktien in den Spam-Mitteilungen hochgejubelt, damit der Aktienkurs kurzfristig ansteigt. Die Betrüger, die sich zuvor billig mit den betroffenen Wertpapieren eingedeckt haben, können sie dann mit Gewinn verkaufen. Das Botnet konnte auch für kriminelle Zwecke gemietet werden.
Acht Jahre Verfolgung
Dem Schlag gegen das Netzwerk gingen nach Angaben von Microsoft acht Jahre der Verfolgung des Botnets und der Planung voraus. Zum einen sei es gelungen, den Algorithmus zu knacken, mit dem Necurs laufend neue Internet-Adressen (Domains) generieren konnte. Damit konnten rund sechs Millionen Domains vorhergesagt werden, die das Botnet in den folgenden 25 Monaten angelegt hätte. Diese Domains konnten dann blockiert werden, so dass sie nicht mehr Teil des Botnets werden konnten.
Parallel dazu gelang es Microsoft, von einem Bezirksgericht in New York eine richterliche Anordnung zu erhalten, um Necurs-Rechner zu übernehmen, die sich in den USA befanden. "Dies hat Microsoft ermöglicht, die Kontrolle über die Infrastruktur zu übernehmen, die Necurs in den USA zur Verbreitung von Malware und zur Infektion der Computer der Opfer nutzt", schrieb Microsoft-Manager Tom Burt in einem Blogeintrag.
Wie erkenne ich, ob ich Teil eines Botnetzes bin?
Das Erkennen, ob der Rechner infiziert ist, ist schwierig. Indikatoren sind eine unverhältnismäßig langsame Internetverbindung und, dass der Rechner ausgelastet ist, obwohl man nicht viel geöffnet hat. Die genannten Auswirkungen können aber auch auf Viren und Schädlinge hindeuten.
Einige Antivirenprogramme erkennen mittlerweile recht zuverlässig Verursacher von derartiger Schadsoftware, die sich über infizierte Mail-Anhänge versucht einzuschleusen. Fortgeschrittene Nutzer können sich im Taskmanager auf die Suche nach seltsamen, unbekannten Diensten machen und nach Autostart-Programmen suchen. Dabei sollte man aber wissen, welche Anwendungen System-Dienste sind, bevor man übereilt, Programme entfernt.
Empfehlung von Microsoft
Das Unternehmen empfiehlt den Einsatz von "Safety Scanner“, sofern man befürchtet, dass der eigene Rechner infiziert sein könnte.
(bagre/APA)