Training

Weltumspannendes BotNetz Simda wurde stillgelegt

14. April 2015 - Verschiedene Strafverfolgungsbehörden und private Sicherheitsfirmen haben das Botnetz Simda stillgelegt.
 

Zuletzt sollen 770.000 Computer zum Botnetz gehört haben. Infizierte Rechner wurden an Kriminelle verkauft. Dabei habe das Botnetz aus 190 Ländern operiert; mit 22 Prozent führte die USA die Liste der Länder mit infizierten Computern an. Das berichtet der Anbieter von Sicherheitssoftware Kaspersky Lab.

Für die Abschaltung des Botnetzes Ende vergangener Woche zeichnen mehrere Parteien verantwortlich. Darunter befinden sich etwa Firmen wie Microsoft, Kaspersky Lab und Trend Micro, aber auch das FBI war mit von der Partie. Die Operation fand zeitgleich über mehrere Ländern verteilt statt und Behörden beschlagnahmten dabei 14 Command-und-Control-Server des Botnetzes.

Die meisten Computer wurden auf der Basis von Sicherheitslücken in Java, Flash und Silverlight infiziert, die Benutzer mit Phishing-Mails geködert und so der Schadcode installiert.

Dieser Schadcode modifizierte die Hosts-Datei von Windows und leitete Besucher von Webseiten heimlich auf Server des Botnetzwerkes um. Von dort konnte dann weiterer Schadcode auf die Rechner geschleust werden. In vielen Fällen sollen die Veränderungen in der Hosts-Datei auch nach dem Entfernen der Backdoor bestehen bleiben. Wer die Hosts-Datei prüfen will, findet diese in der Regel unter %SYSTEMROOT%\system32\drivers\etc\hosts.

Kaspersky Lab bietet einen Test an, mit der die Infektion überprüft werden kann.

Quelle: Heise