Sonntag, 7. Juni 2009

Botnet/Mebroot/Torpig

Bei einer Zusammenkunft von Administratoren zu den sogenannten Sicherheitstagen bei meinem Arbeitgeber ging es in erster Linie um die Thematik von Sicherheitsproblemen.

Lange Zeit hatte man nicht mehr wirklich viel über Viren, Würmer oder Trojaner gehört. Dann aber tauchte Conficker auf. Und im Rahmen des allgemeinen Überblicks gab es einen Hinweis auf ein Paper, dass sich mit der Übernahme eines Botnets befasst. Dieses Paper habe ich mir einmal ausführlicher angesehen.

Das Paper selbst trägt den Titel "Your Botnet is My Botnet: Analysis of a Botnet Takeover" und ist an der University of California in Santa Barbara durch acht Mitarbeiter/Studierende entstanden. Online ist das Paper hier zu finden.

Das Department of Computer Science hatte es geschafft, dass hinter der Malware Torpig stehende Botnet teilweise für zehn Tage im Januar 2009 zu übernehmen. Dabei stellte sich dann auch heraus, dass Torpig doch einiges mit Mebroot zu tun hat. Allein in diesen zehn Tagen gab es rund 180.000 Infektionen, es wurden über 70 GB an Daten auch über Zugangs- oder Bankdaten gesammelt und die in den zehn Tagen zur Verfügung stehenden Server wurden von über 1,2 Millionen verschiedenen IP-Adressen kontaktiert.

Wer sich also mal ein bißchen einlesen möchte, dem sei das Paper hiermit empfohlen!

Keine Kommentare: