Abo
  • Services:

US-Forscher übernehmen Botnet "Torpig"

Rund 180.000 Rechner sollen infiziert sein

In Kalifornien haben Sicherheitsforscher der Universität von Santa Barbara für zehn Tage das Botnetz des Schadprogramms "Torpig" übernommen. In Kooperation mit Strafverfolgungsbehörden schnitten sie dabei die übermittelten Daten der infizierten Rechner mit und untersuchten, mit welchen ausgefeilten Techniken Torpig seit drei Jahren überleben kann.

Artikel veröffentlicht am ,

Das Programm Torpig, bei manchen Antivirenherstellern auch als "Sinowal" bezeichnet, tauchte erstmals 2006 auf und ist immer noch im Umlauf. Es verbreitet sich inzwischen nicht mehr nur durch ausführbare Dateien, die per E-Mail versendet werden, sondern auch durch Skriptcode auf Webseiten.

Inhalt:
  1. US-Forscher übernehmen Botnet "Torpig"
  2. US-Forscher übernehmen Botnet "Torpig"

Schon dabei geht Torpig laut der Analyse der Computer Security Group an der staatlichen Universität von Santa Barbara sowohl aggressiv als auch vorsichtig vor. Die infizierten Rechner selbst generieren die Domainnamen, von denen sie Schadcode nachladen. Dabei beziehen sie als Zufallselement auch Suchergebnisse von Twitter ein, die in die Domainnamen einfließen.

Dadurch wird es schwer, die Domains im Vorfeld zu sperren - ähnlich arbeitet auch der Wurm Conficker, der seit Herbst 2008 sein Unwesen treibt. Kann Torpig einmal durch nicht gepatchte Sicherheitslücken in Browser oder Java-Engine seinen Code nachladen, führt das Programm eine Vielzahl von Attacken auf den Browser und Plug-ins wie Active-X durch. Wenn er so Code mit Administratorrechten ausführen kann, installiert er sich in ausführbaren Dateien und dem Master Boot Record der Festplatte.

Torpig wird dann bei jedem Start des Rechners noch vor einem eventuell vorhandenen Antivirusprogramm ausgeführt, die Scanner können ihn dann jedoch immer noch entdecken. Einige Aktionen kann er dann aber bereits ausgeführt haben.

Stellenmarkt
  1. Bundeskriminalamt, Meckenheim
  2. Friedrich-Alexander-Universität Erlangen-Nürnberg, Erlangen

Insbesondere trifft das für die Updatefunktion des Schädlings zu, bei der er ebenfalls wie Conficker arbeitet. Die US-Forscher haben dieses Verhalten der Generierung von Domainnamen in Anspielung auf Fast-Flux-Netze "domain flux" getauft. Durch die Vielzahl von Domains, welche jeder Client generiert, ist deren Sperrung im Vorfeld einer Aktualisierung nur schwer möglich.

Hat Torpig einen Rechner erst einmal infiziert, so schneidet er alle Eingaben des Benutzers mit und versucht dabei gezielt, Log-in-Versuche über Webformulare, Kreditkartennummern und Accounts für Onlinebanking zu finden. Seine Daten übermittelt das Programm dann an einen der sogenannten "Command & Control Server", die jedes Botnetz steuern.

US-Forscher übernehmen Botnet "Torpig" 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)

Alternativvv 05. Mai 2009

und 80% (grobe schätzung) der server...

Alternativvv 05. Mai 2009

zum einen stimmts nicht (siehe post von "Lesen bildet" um 14.40), zum anderen würde es...

Replikator 05. Mai 2009

Völlig richtig! Wenn nicht aufgepasst wird haben wir schneller als uns Lieb ist die...

SolarisFrickler 05. Mai 2009

Hi warum wird sowas nicht auf Netzwerkebene abgefangen? Nein bin kein Netzwerk Fachmann...

Sumsi 05. Mai 2009

tja, wenn bei IT News für Profis die Redaktion den Unterschied von Java und JavaSCRIPT...


Folgen Sie uns
       


Gemini PDA - Test

Ein PDA im Jahr 2018? Im Test sind wir nicht restlos überzeugt - was vor allem an der Gerätegattung selber liegt.

Gemini PDA - Test Video aufrufen
Kreuzschifffahrt: Wie Brennstoffzellen Schiffe sauberer machen
Kreuzschifffahrt
Wie Brennstoffzellen Schiffe sauberer machen

Die Schifffahrtsbranche ist nicht gerade umweltfreundlich: Auf hoher See werden die Maschinen der großen Schiffe mit Schweröl befeuert, im Hafen verschmutzen Dieselabgase die Luft. Das sollen Brennstoffzellen ändern - wenigstens in der Kreuzschifffahrt.
Von Werner Pluta

  1. Roboat MIT-Forscher drucken autonom fahrende Boote
  2. Elektromobilität Norwegen baut mehr Elektrofähren
  3. Elektromobilität Norwegische Elektrofähre ist sauber und günstig

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

Nasa: Wieder kein Leben auf dem Mars
Nasa
Wieder kein Leben auf dem Mars

Analysen von Kohlenwasserstoffen durch den Marsrover Curiosity zeigten keine Hinweise auf Leben. Dennoch versucht die Nasa mit allen Mitteln, den gegenteiligen Eindruck zu vermitteln.
Von Frank Wunderlich-Pfeiffer


      •  /