Sicherheit: Maria Garnaeva vom Sicherheitsexperten Kaspersky berichtet in einem Beitrag auf Securelist über das Comeback des 2011 abgeschalteten Botnetzes Kelihos. Offenbar wurden die Rechner (Clients) mit einer neuen Version der Malware infiziert, sodass die Rechner ihre Arbeit wieder aufgenommen haben.
Hex-Code eines Binaries (Bild: petanews)
Erst im September 2011 wurde das Botnetz durch einer gemeinsamen Aktion von Microsoft und Kaspersky abgeschaltet. Dabei wurde das Botnetz selbst allerdings nicht angefasst, sondern die Kommunikation zum sogenannten Command-and-Control-Server unterbrochen. Über diesen speziellen Server steuern die Betreiber eines Botnetzes die infizierten Clients, sodass durch die Unterbrechung der Kommunikation das Botnetz “führungslos” ist, aber prinzipiell intakt bleibt.
Wie Garnaeva jetzt auf Securelist berichtet, ist das Botnetz jedoch durch die Betreiber reaktiviert worden. Auf den Clients wurde eine modifizierte Version der Malware aufgespielt, die jetzt unter anderem auch neue Methoden implementiert, die den Versand von SPAM-Mails verschleiern sollen. Das Botnetz dürfte mit der Wiederaufnahme der Tätigkeit für reichlich SPAM-Mails sorgen, denn zur Abschaltung bestand es aus über 40.000 infizierten Clients. Mehrere Milliarden E-Mails sollen darüber verschickt worden sein – tagtäglich wohl bemerkt.
Die Sicherheitsexpertin gelangt in ihren Ausführungen letztlich aber auch zu einer wichtigen Erkenntnis: Das Vorgehen von Microsoft und Kaspersky war von Anfang an zum Scheitern verurteilt. Die Methode der Unterbrechung der Kommunikation zum Command-and-Control-Server schaffe zwar kurzfristige Abhilfe, könne jedoch die Wiederaufnahme des Betriebes nicht nachhaltig verhindern. Es war also von Anbeginn an nur eine Frage der Zeit, bis die Spammer wieder die Kontrolle über das Botnetz Kelihos erlangten.
