Ist Ihr PC Teil eines Botnetzes? Prüfen Sie das jetzt!

Viele Menschen sind noch der Meinung, Schadprogramme würden die normalen Funktionen eines PCs stören. Und wenn der PC einwandfrei läuft, bedeutet das auch, dass er nicht infiziert ist. Doch das

Viele Menschen sind noch der Meinung, Schadprogramme würden die normalen Funktionen eines PCs stören. Und wenn der PC einwandfrei läuft, bedeutet das auch, dass er nicht infiziert ist. Doch das ist leider falsch. Virenschreiber sind keine gelangweilten Cyber-Cowboys mehr. Moderne Cyberkriminelle haben nicht das Ziel, mit ihren Machwerken Schaden anzurichten, sondern Geld zu verdienen. Und dieses Ziel diktiert das Verhalten von Schadprogrammen: Die besten Schädlinge sind die, die am längsten unentdeckt bleiben.

So kommen Botnetze meist mit Funktionen zum Verstecken der schädlichen Programme. Botnetze bestehen aus Tausenden infizierter PCs, die größten Botnetze enthalten Hunderttausende Computer. Die Besitzer dieser Computer haben keine Ahnung, dass ihre Geräte infiziert sind. Sie bemerken allenfalls, dass ihr PC etwas langsamer arbeitet, aber das ist für viele PCs oft nicht ungewöhnlich.

Botnetze werden eingerichtet, um private Daten zu stehlen – etwa Passwörter, Sozialversicherungsnummern, Kreditkartendaten, Adressen und Telefonnummern. Diese Daten werden dann für Verbrechen wie Identitätsdiebstahl, Betrug, Spam-Versand und die Verbreitung von Schadprogrammen missbraucht. Zudem werden Botnetze verwendet, um Angriffe auf Webseiten und Netzwerke durchzuführen.

Um ein großes Botnetz auszuheben, bedarf es immer der Zusammenarbeit mehrerer Organisationen und viel Arbeit. Aktuelles Beispiel ist das Simda-Botnetz, das wohl über 770.000 Computer in über 190 Länder infiziert hat. Die am stärksten betroffenen Länder sind die USA, Großbritannien, die Türkei, Kanada und Russland.

botnet-simda-countries

Man könnte sagen, Simda war ein Verteil-Botnetz, das illegale Software und verschiedene Arten von Schadprogrammen verbreitete, inklusive solcher Schädlinge, die Finanzdaten stehlen können. Die Entwickler dieser Schadprogramme bezahlten die Simda-Besitzer für jede Installation. Das Botnetz war sozusagen eine riesige Handelskette für Schädlingshersteller.

Simda war jahrelang aktiv. Um es effektiver zu machen, arbeiteten die Simda-Entwickler laufend an neuen Versionen und verteilten diese – manchmal gab es sogar innerhalb weniger Stunden neue Updates. Momentan enthält die Virensammlung von Kaspersky Lab über 260.000 ausführbare Dateien, die zu verschiedenen Simda-Versionen gehören.

Die gleichzeitige Abschaltung von 14 Command-&-Control-Servern des Simda-Botnetzes in den Niederlanden, den USA, Luxemburg, Russland und Polen, fand am 9. April statt. Die Liste der an der Abschaltung beteiligten Firmen und Organisationen zeigt, wie komplex die Aktion war: Neben Interpol, Microsoft und Kaspersky Lab waren auch Trend Micro, das Cyber Defense Institute, das FBI, das Dutch National High-Tech Crime Unit (NHTCU), die Police Grand-Ducale Section Nouvelles Technologies in Luxembourg und die Abteilung „K“ des Russischen Innenministeriums an dem Schlag gegen die Cyberkriminellen beteiligt.

„Botnetze sind geographisch verteilte Netzwerke und es ist meist eine große Herausforderung, diese abzuschalten. Deshalb ist die Zusammenarbeit von privatem und öffentlichem Sektor hier so enorm wichtig – jeder Beteiligte trägt seinen wichtigen Teil dazu bei“, so Vitaly Kamluk, Principal Security Researcher bei Kaspersky Lab, der derzeit zu Interpol abgeordnet ist. „In diesem Fall hatte Kaspersky Lab die Aufgabe, den Bot technisch zu analysieren, über das Kaspersky Security Network Botnetz-Telemetriedaten zu sammeln und bei der Entwicklung von Abschaltungsstrategien zu helfen.“

Da die Untersuchung noch läuft, kann noch nicht gesagt werden, wer hinter dem Simda-Botnetz steckt. Wichtig für die Anwender ist, dass die Command-&-Control-Server, über die die Cyberkriminellen mit den infizierten Computern kommuniziert haben, durch die Aktion abgeschaltet wurden. Doch auch wenn das Simda-Botnetz dadurch nicht mehr funktioniert, sollten die betroffenen Anwender die entsprechenden Schadprogramme löschen.

Kaspersky Lab hat mit den vom Simda-Botnetz erhaltenen Informationen eine spezielle Seite eingerichtet, auf der Sie prüfen können, ob die IP-Adresse Ihres Computers auf der Liste der infizierten Computer zu finden ist.

simda-checkEine weitere Möglichkeit ist, Ihren Computer mit dem kostenlosen Kaspersky Security Scan zu prüfen oder die Testversion von Kaspersky Internet Security herunter zu laden. Alle Kaspersky-Lösungen entdecken natürlich die Simda-Schadprogramme. Weitere Informationen zum Simda-Botnetz finden Sie auf Securelist.

Tipps