Infizierte Systeme erhalten bei Suchanfragen diese Seite von Microsoft.
Infizierte Systeme erhalten bei Suchanfragen diese Seite von Microsoft. (Bild: Microsoft)

Bamital Microsoft nutzt Umleitungsbotnet zur Malware-Aufklärung

Nach zwei Jahren Arbeit haben Microsoft und Symantec in einer gemeinsamen Aktion das Botnet Bamital übernommen. Die Malware leitete Benutzer unter anderem nach Suchanfragen auf Webseiten um, die sie gar nicht besuchen wollten. Das ist nun geändert.

Anzeige

Botnetze, die hunderttausende private PCs kapern, werden nicht nur für DDoS-Attacken oder Spamversand genutzt - manchmal denken sich die Betreiber solcher Zombiearmeen auch ein besonders ausgeklügeltes Geschäftsmodell aus. Das war auch beim "Bamital" genannten Botnetz der Fall, wie Microsoft beschreibt.

Bei der mindestens seit dem Jahr 2010 in mehreren Varianten verbreiteten Malware funktioniert der Windows-PC anscheinend wie gewohnt, sobald jedoch über einen Suchdienst wie die von Google, Microsoft und Yahoo angebotenen Webseiten eine Anfrage gestellt wird, werden nicht die richtigen Suchergebnisse angezeigt.

Vielmehr werden die Anfragen auf einen Server des Botnetzes umgeleitet, der dann Werbung und gefälschte Suchergebnisse anzeigt. Klickt der Anwender auf dieser Seite auf einen Link, landet er bei einer Webseite, die der Suchanfrage in etwa entspricht, die aber auch von Bamital verbreitete Werbung zeigt. An diesen Anzeigen verdienten die Betreiber des Botnetzes, und zwar nicht schlecht.

Eine Million Umsatz pro Jahr

Nach Schätzungen von Microsoft und Symantec, welche die beiden Unternehmen als recht konservativ beschreiben, war durch die Werbung mindestens eine Million US-Dollar pro Jahr zu erzielen - vielleicht auch das Zwei- bis Dreifache. Dazu legte das Unternehmen bei Ars Technica auch Zahlen vor: Drei Millionen Zugriffe pro Tag leiteten die Bamital-Betreiber jeden Tag allein auf einen einzigen ihrer Server um. In den vergangenen zwei Jahren sollen insgesamt acht Millionen PCs unter der Kontrolle der Kriminellen gestanden haben. Nicht aber alle Control-Server: Mindestens einen davon hatten die Sicherheitsforscher schon im Jahr 2011 unter ihre Kontrolle bringen können.

Da sich die Malware, die vor allem über Drive-by-Downloads mit veralteten Browserversionen verbreitet wurde, aber ständig veränderte, ergab sich erst 2012 die Gelegenheit, das Botnetz ganz unter die Kontrolle von Microsoft und Symantec zu bringen. Dazu kamen noch zwei Monate juristische Arbeit, wie Microsoft erklärt. Erst am 6. Februar 2013 lagen die Gerichtsbeschlüsse (PDF) vor, um bei Providern in New Jersey und Virginia die entscheidenden Kontrollserver zu beschlagnahmen.

Abgeschaltet hat Microsoft diese Rechner jedoch nicht, denn dann würden die Nutzer infizierter PCs mit jeder Suchanfrage im Nichts landen. Statt gefälschter Suchergebnisse stellen die Bamital-Server nun eine Warnung des Unternehmens vor dem Schädlingsbefall dar. Dort gibt es auch Links zu kostenlosen Antivirenprogrammen von Microsoft und Symantec.

Betroffen sind von dem Schädling nur Anwender, die keinen oder einen veralteten Virenscanner einsetzen. Die Engines aller namhaften AV-Hersteller erkennen Bamital seit Jahren. Neuere Varianten, die über die Suchumleitungen zusammen mit anderer Malware nachgeladen werden können, verändern auch andere Systemeinstellungen. Eine von Trend-Micro beschriebene Version verhindert beispielsweise das Aufrufen des Task-Managers und des Registry-Editors - wohl, um den Schädling ein wenig zu verstecken.


drachenglut 07. Feb 2013

... das ist nun Vorbei! Jetzt bekommen Sie halt erwünschte Werbung von MS ;-)

Tuxianer 07. Feb 2013

Doch. Server beschlagnahmen ist Aufgabe der Polizei. Aber die Auswertung der Daten ist...

Kommentieren




Anzeige

  1. Referent/in Porfolio- / Projektmanagement
    Wüstenrot Bausparkasse AG, Ludwigsburg
  2. Senior SAP Solution Inhouse Consultant (m/w)
    Leica Camera AG, Wetzlar
  3. Head of Ad Management (m/w)
    Heise Medien GmbH & Co. KG, Hannover
  4. Teamleiter Webdesign (m/w)
    redblue Marketing GmbH, München

Detailsuche


Top-Angebote
  1. 3D-Blu-rays reduziert
    (u. a. Jurassic Park 11,97€, Die Hobbit Trilogie 49,97€, Hotel Transsilvanien 9,97€)
  2. BESTPREIS: Seagate Expansion Portable externe Festplatte 2TB 2,5" USB 3.0
    75,00€
  3. NUR NOCH HEUTE: FILM-TIEFPREISWOCHE - ÜBER 9.000 TITEL REDUZIERT

Weitere Angebote


Folgen Sie uns
       


  1. O2-Netz

    Mobilfunkkunden von Kabel Deutschland gekündigt

  2. Landkreistag

    Warum der Bund den Glasfaserausbau nicht fördert

  3. Millionen Tonnen

    Große Mengen Elektronikschrott verschwinden aus Europa

  4. Autosteuerung

    Uber heuert die Jeep-Hacker an

  5. Contributor Conference

    Owncloud führt Programm für Bug-Bounties ein

  6. Flexible Electronics

    Pentagon forscht mit Apple und Boeing an Wearables

  7. Private Cloud

    Proxy für Owncloud soll Heimnutzung erleichtern

  8. Geheimdienste

    NSA kann weiter US-Telefondaten sammeln

  9. Die Woche im Video

    Diskettenhaufen und heiße Teilchen

  10. Frankfurt

    Betreiber modernisieren Mobilfunknetz der U-Bahn



Haben wir etwas übersehen?

E-Mail an news@golem.de



Open Source: Sticken! Echt jetzt?
Open Source
Sticken! Echt jetzt?
  1. München CSU-Stadträte wettern über Limux
  2. Guadec15 "Beiträge zu freier Software sind zu schwer"
  3. Guadec15 "Open-Source-Software braucht Markenrechte"

Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. Swapster Deutsche Börse plant Handelsplattform für Spieler
  2. Ninja Theory Hellblade und eine Heldin mit Trauma
  3. Unterwasser Aquanox sucht Community

Uberchord ausprobiert: Besser spielen statt Highscore jagen
Uberchord ausprobiert
Besser spielen statt Highscore jagen
  1. Play Music Googles Musikdienst bekommt kuratierte Playlisten
  2. GTA 5 Rockstar-Editor bald für PS4 und Xbox One
  3. DAB+ WDR schaltet seine Mittelwellensender ab

  1. Re: In Amerika funktioniert es auch..

    Xstream | 11:50

  2. "E-Schrott" am besten bei ebay verkaufen

    Jocularous | 11:50

  3. Re: Oha o.o

    Falk.Stein | 11:47

  4. Re: Kupfer nicht komplett abschreiben

    sneaker | 11:47

  5. Qualitätsklassen, Netzneutralität, bla?

    Clarissa1986 | 11:46


  1. 11:23

  2. 10:08

  3. 09:35

  4. 12:46

  5. 11:30

  6. 11:21

  7. 11:00

  8. 10:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel