Abo
  • Services:
Anzeige

US-Forscher übernehmen Botnet "Torpig"

Rund 180.000 Rechner sollen infiziert sein

In Kalifornien haben Sicherheitsforscher der Universität von Santa Barbara für zehn Tage das Botnetz des Schadprogramms "Torpig" übernommen. In Kooperation mit Strafverfolgungsbehörden schnitten sie dabei die übermittelten Daten der infizierten Rechner mit und untersuchten, mit welchen ausgefeilten Techniken Torpig seit drei Jahren überleben kann.

Das Programm Torpig, bei manchen Antivirenherstellern auch als "Sinowal" bezeichnet, tauchte erstmals 2006 auf und ist immer noch im Umlauf. Es verbreitet sich inzwischen nicht mehr nur durch ausführbare Dateien, die per E-Mail versendet werden, sondern auch durch Skriptcode auf Webseiten.

Anzeige

Schon dabei geht Torpig laut der Analyse der Computer Security Group an der staatlichen Universität von Santa Barbara sowohl aggressiv als auch vorsichtig vor. Die infizierten Rechner selbst generieren die Domainnamen, von denen sie Schadcode nachladen. Dabei beziehen sie als Zufallselement auch Suchergebnisse von Twitter ein, die in die Domainnamen einfließen.

Dadurch wird es schwer, die Domains im Vorfeld zu sperren - ähnlich arbeitet auch der Wurm Conficker, der seit Herbst 2008 sein Unwesen treibt. Kann Torpig einmal durch nicht gepatchte Sicherheitslücken in Browser oder Java-Engine seinen Code nachladen, führt das Programm eine Vielzahl von Attacken auf den Browser und Plug-ins wie Active-X durch. Wenn er so Code mit Administratorrechten ausführen kann, installiert er sich in ausführbaren Dateien und dem Master Boot Record der Festplatte.

Torpig wird dann bei jedem Start des Rechners noch vor einem eventuell vorhandenen Antivirusprogramm ausgeführt, die Scanner können ihn dann jedoch immer noch entdecken. Einige Aktionen kann er dann aber bereits ausgeführt haben.

Insbesondere trifft das für die Updatefunktion des Schädlings zu, bei der er ebenfalls wie Conficker arbeitet. Die US-Forscher haben dieses Verhalten der Generierung von Domainnamen in Anspielung auf Fast-Flux-Netze "domain flux" getauft. Durch die Vielzahl von Domains, welche jeder Client generiert, ist deren Sperrung im Vorfeld einer Aktualisierung nur schwer möglich.

Hat Torpig einen Rechner erst einmal infiziert, so schneidet er alle Eingaben des Benutzers mit und versucht dabei gezielt, Log-in-Versuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking zu finden. Seine Daten übermittelt das Programm dann an einen der sogenannten "Command & Control Server", die jedes Botnetz steuern.

US-Forscher übernehmen Botnet "Torpig" 

eye home zur Startseite
Alternativvv 05. Mai 2009

und 80% (grobe schätzung) der server...

Alternativvv 05. Mai 2009

zum einen stimmts nicht (siehe post von "Lesen bildet" um 14.40), zum anderen würde es...

Replikator 05. Mai 2009

Völlig richtig! Wenn nicht aufgepasst wird haben wir schneller als uns Lieb ist die...

SolarisFrickler 05. Mai 2009

Hi warum wird sowas nicht auf Netzwerkebene abgefangen? Nein bin kein Netzwerk Fachmann...

Sumsi 05. Mai 2009

tja, wenn bei IT News für Profis die Redaktion den Unterschied von Java und JavaSCRIPT...



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Waiblingen
  2. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
  3. Weitmann & Konrad GmbH & Co. KG, Leinfelden-Echterdingen
  4. AEB GmbH, Singapur


Anzeige
Hardware-Angebote
  1. 1.039,00€ + 5,99€ Versand
  2. 649,00€

Folgen Sie uns
       


  1. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  2. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  3. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards

  4. Square Enix

    Nvidia möbelt Final Fantasy 15 für Windows-PC auf

  5. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe

  6. Gebärdensprache

    Lautlos in der IT-Welt

  7. Denverton

    Intels Atom C3000 haben 16 Kerne bei 32 Watt

  8. JR Maglev

    Mitsubishi steigt aus Magnetbahn-Projekt aus

  9. Forschung

    HPE-Supercomputer sollen Missionen zum Mars unterstützen

  10. IEEE 802.11ax

    Broadcom bietet Chip-Plattform für das nächste 5-GHz-WLAN



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 34UC89G im Test: Wenn G-Sync und 166 Hertz nicht genug sind
LG 34UC89G im Test
Wenn G-Sync und 166 Hertz nicht genug sind
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Monitor Viewsonic XG 2530 im Test 240 Hertz, an die man sich gewöhnen kann
  3. SW271 Benq bringt HDR-Display mit 10-Bit-Panel

C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  2. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  3. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten

  1. Nutzlos

    genussge | 16:03

  2. Re: Halten wir fest: VW baut garnichts!

    Auspuffanlage | 16:03

  3. Re: Totgeburt

    Paule | 16:03

  4. Re: Was passiert wenn der nachträglich patentiert?

    /mecki78 | 16:02

  5. Re: Ist doch bei Intel nichts neues

    superdachs | 16:02


  1. 15:33

  2. 15:07

  3. 14:52

  4. 14:37

  5. 12:29

  6. 12:01

  7. 11:59

  8. 11:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel