US-Forscher übernehmen Botnet "Torpig"

Rund 180.000 Rechner sollen infiziert sein

In Kalifornien haben Sicherheitsforscher der Universität von Santa Barbara für zehn Tage das Botnetz des Schadprogramms "Torpig" übernommen. In Kooperation mit Strafverfolgungsbehörden schnitten sie dabei die übermittelten Daten der infizierten Rechner mit und untersuchten, mit welchen ausgefeilten Techniken Torpig seit drei Jahren überleben kann.

Artikel veröffentlicht am ,

Das Programm Torpig, bei manchen Antivirenherstellern auch als "Sinowal" bezeichnet, tauchte erstmals 2006 auf und ist immer noch im Umlauf. Es verbreitet sich inzwischen nicht mehr nur durch ausführbare Dateien, die per E-Mail versendet werden, sondern auch durch Skriptcode auf Webseiten.

Inhalt:
  1. US-Forscher übernehmen Botnet "Torpig"
  2. US-Forscher übernehmen Botnet "Torpig"

Schon dabei geht Torpig laut der Analyse der Computer Security Group an der staatlichen Universität von Santa Barbara sowohl aggressiv als auch vorsichtig vor. Die infizierten Rechner selbst generieren die Domainnamen, von denen sie Schadcode nachladen. Dabei beziehen sie als Zufallselement auch Suchergebnisse von Twitter ein, die in die Domainnamen einfließen.

Dadurch wird es schwer, die Domains im Vorfeld zu sperren - ähnlich arbeitet auch der Wurm Conficker, der seit Herbst 2008 sein Unwesen treibt. Kann Torpig einmal durch nicht gepatchte Sicherheitslücken in Browser oder Java-Engine seinen Code nachladen, führt das Programm eine Vielzahl von Attacken auf den Browser und Plug-ins wie Active-X durch. Wenn er so Code mit Administratorrechten ausführen kann, installiert er sich in ausführbaren Dateien und dem Master Boot Record der Festplatte.

Torpig wird dann bei jedem Start des Rechners noch vor einem eventuell vorhandenen Antivirusprogramm ausgeführt, die Scanner können ihn dann jedoch immer noch entdecken. Einige Aktionen kann er dann aber bereits ausgeführt haben.

Insbesondere trifft das für die Updatefunktion des Schädlings zu, bei der er ebenfalls wie Conficker arbeitet. Die US-Forscher haben dieses Verhalten der Generierung von Domainnamen in Anspielung auf Fast-Flux-Netze "domain flux" getauft. Durch die Vielzahl von Domains, welche jeder Client generiert, ist deren Sperrung im Vorfeld einer Aktualisierung nur schwer möglich.

Hat Torpig einen Rechner erst einmal infiziert, so schneidet er alle Eingaben des Benutzers mit und versucht dabei gezielt, Log-in-Versuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking zu finden. Seine Daten übermittelt das Programm dann an einen der sogenannten "Command & Control Server", die jedes Botnetz steuern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
US-Forscher übernehmen Botnet "Torpig" 
  1. 1
  2. 2
  3.  
Verwandte Artikel
Schadcode - Vorgebliches Windows-Update unterwegs
artikel-bild
Smominru
Riesiges Botnetz missbraucht Windows-Server für Kryptomining
artikel-bild
Botnetz
Wie Mirai Windows als Sprungbrett nutzt
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren
artikel-bild
Raumfahrt
Tomaten auf der ISS sehen nach Monaten noch genießbar aus
Kommentarübersicht
Re: und warum wird Linux nicht befallen?
Alternativvv 05. Mai 2009

und 80% (grobe schätzung) der server...

Re: das ist doch schwachsinn?!
Alternativvv 05. Mai 2009

zum einen stimmts nicht (siehe post von "Lesen bildet" um 14.40), zum anderen würde es...

Re: Irgendwann rotten Uns die Elektronischen...
Replikator 05. Mai 2009

Völlig richtig! Wenn nicht aufgepasst wird haben wir schneller als uns Lieb ist die...

Auf Netzwerk ebene abfangen.
SolarisFrickler 05. Mai 2009

Hi warum wird sowas nicht auf Netzwerkebene abgefangen? Nein bin kein Netzwerk Fachmann...

Aktuell auf der Startseite von Golem.de
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen

Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
Eine Analyse von Ingo Pakalski

Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
Artikel
  1. Kernfusion: US-Fusionslabor erreicht konsistent Zündungen
    Kernfusion
    US-Fusionslabor erreicht konsistent Zündungen

    Vor einem Jahr gelang der US-Forschungseinrichtung NIF ein wichtiger Fortschritt bei der Kernfusion. Der wurde inzwischen mehrfach wiederholt.

  2. Aufkauf der Restaktien: Silver Lake will die Software AG vollends übernehmen
    Aufkauf der Restaktien
    Silver Lake will die Software AG vollends übernehmen

    Das Angebot des Investors für die restlichen Anteile liegt vor. Die Software AG trennt sich derweil von zwei Produkten.

  3. 49-Euro-Ticket: Stendal könnte doch zum Deutschlandticket zurückkehren
    49-Euro-Ticket
    Stendal könnte doch zum Deutschlandticket zurückkehren

    Während weitere Landkreise ebenfalls über ein Aus für das Deutschlandticket nachdenken, gibt es für Stendal einen möglichen Ausweg.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /