Neues P2P Trojaner-Botnet entdeckt

Originalartikel von Oscar Abendan (Technical Communications bei Trend Micro)

Laut verschiedenen Berichten gibt es seit Kurzem ein neues Botnetz, das über TROJ_DLOADE.ATJ mehrere Systeme infiziert hat. Der Trojaner ist darauf ausgerichtet, weitere Malware herunter zu laden und zu installieren, besitzt jedoch anscheinend keine Distributed Denial-of-Service (DDoS) Fähigkeiten.

Nutzer sind dann gefährdet, diesen Schadcode herunterzuladen, wenn sie Sites unter der Domäne {BLOCKED}m.com or {BLOCKED}n.net besuchen. Der Trojaner lädt unter Umständen auch weitere Malware von besagter Domäne. Sobald er sich installiert hat, versucht er den Command-and-Control Server über den TCP Port 8090 zu kontaktieren, um sich dort anzumelden und auf Befehle zu warten. Er kann auch mit anderen Bots über eine Art von Peer-to-Peer (P2P) Verbindung über die Ports 7000 – 7010 kommunizieren, sowie Verbindung zu bestimmten bösartigen Sites aufnehmen, die derzeit nicht erreichbar sind.

Botnetze haben sich zur dauerhaftesten und gefährlichsten Bedrohung im Internet entwickelt, denn sie können großen Schaden anrichten, wie etwa Informationen stehlen und Malware-Infektionen auslösen, wie auch das Whitepaper “Botnet: Perpetrators of Crimeware” zeigt. Das Papier beschreibt die Entwicklung von Botnetzen sowie ihre Auswirkung auf die aktuelle Bedrohungslandschaft.

Trend Micro schützt seine Kunden über das Smart Protection Network vor diesen Angriffen. Die Content-Sicherheitsinfrastruktur blockiert mittels des Web Reputation Service den Zugriff der Benutzer auf alle bösartigen URLs und entdeckt damit in Verbindung stehende Malware mittels des File Reputation Service.

Aktualisierung vom 16.04.:

TROJ_DLOADE.ATJ wurde nun von Trend Micro als BKDR_HELOAG.SM identifiziert. Der Schadcode erhält bestimmte IP-Adressen und Befehel von einem Host-Bot.

Ein Gedanke zu „Neues P2P Trojaner-Botnet entdeckt

  1. Pingback: Trend Micro warnt vor neuem P2P-Botnetz - pressebüro laaks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*