Das SDBOT IRC Botnetz weiter im Umlauf

Originalartikel von Loucif Kharouni (Threats Analyst bei Trend Micro)

Der SDBOT-Schadcode ist bereits seit dem Jahr 2004 bekannt. Die meisten Botnetze, die eine Kommunikation über das IRC-Protokoll (Internet Relay Chat) aufbauen, wie AGOBOT, IRCBOT, RBOT und andere, gibt es schon seit 2001. Doch hat diese Art der Malware selten Aufmerksamkeit erregt, denn sie funktioniert im stillen. Weder sind es Spam-Schleudern noch Ressourcenfresser, und sie unterbrechen auch kaum die normalen Computeraktivitäten wie Browsing. Daher merken die Opfer kaum, dass ihre Computer infiziert worden sind.

Das Whitepaper “SDBOT IRC Botnet Continues to Make Waves” beschreibt die SDBOT-Varianten und ihre Payload – die Installation von Pay-per-install-Programmen. Es liefert zudem einen Überblick über die Malware, wie sie arbeitet, installiert wird und wie sie sich mithilfe verschiedener Techniken des Social Engineerings ausbreitet. SDBOT ist vor allem darauf ausgerichtet, andere Malware-Dateien wie FAKEAV, Cutwail, Buzus etc. herunterzuladen, die jede ihre eigene Payload und enge Verbindung zu anderen Malware-Familien besitzt.

Das Papier zeigt Hintergründe zur Funktionsweise des Botnetzes im Untergrund auf, wie es strukturiert ist und wie es das Geschäftsmodell Pay-per-install nutzt, um seine kriminellen Ziele zu erreichen. Es zeigt sich, dass dieses Botnetz seine Dienste und Download-Fähigkeiten an Cyberkriminelle vermietet. Auch erfreut sich das Pay-per-install-Geschäftsmodell steigender Beliebtheit, denn dessen Nutzung wird immer einfacher. Ein Botnet-Besitzer wird dafür bezahlt, Malware auf infizierten PCs zu installieren. Beispielsweise bezahlt ein FAKEAV-Autor die SDBOT-Bande, die bereits ein IRC-Botnet besitzt und Tausende von infizierten Maschinen kontrolliert, damit diese die FAKEAV-Dateien auf die Systeme schiebt.

Das vollständige Whitepaer ist auf TrendWatch verfügbar.

Ein Gedanke zu „Das SDBOT IRC Botnetz weiter im Umlauf

  1. Pingback: [BLOCKED BY STBV] markus-arlt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*