Malware
Computer-Botnet missbraucht georgische Regierungs-Server
Die Schadsoftware Win32/Georbot erregte bereits Anfang dieses Jahres Aufmerksamkeit. Dieser virtuelle "Agent" aus Trojaner und Bot stiehlt wertvolle Daten und Informationen auf infizierten Systemen. Dabei nutzt er auf illegale Weise Webseiten und Server der georgischen Regierung.
Die Entdeckung eines Botnets ist inzwischen nichts Ungewöhnliches mehr. Im Gegensatz zu den kürzlich entdeckten Schadprogrammen Win32/Stuxnet und Win32/Duqu, die ein Beispiel gut organisierter und professioneller Cyberkriminellen sind, verfügt Win32/Georbot über eine einzigartige Technologie und noch ausgefeiltere Funktionen, um an Informationen zu gelangen. Das Bemerkenswerte und Interessante an Win32/Georbot ist, dass die Schadsoftware Dokumente und Zertifikate stiehlt. Zudem ist sie in der Lage, neben dem üblichen "Bespitzelungsdienst" Audio- und Videoaufnahmen sowie Screenshots zu erstellen, lokale Netzwerke nach Informationen zu durchsuchen, das System auf "Remote Desktop Konfigurationsdateien" zu überprüfen und DDoS Attacken durchzuführen. Hacker können diese Dateien auf andere Rechner laden und sich Zugriffsrechte verschaffen, ohne dass der Nutzer es bemerkt. Hinzu kommt, dass Win32/Georbot einen Update-Mechanismus beinhaltet, der immer wieder neue Versionen des Bots herunterlädt und auf diese Weise den Viren-Scannern verborgen bleiben kann.Dabei nutzt Win32/Georbot illegal Webseiten der georgischen Regierung, um seine Command-and-Control-Informationen (C&C) herunterzuladen. Sobald die Schadsoftware den C&C-Server nicht erreichen kann, greift ein integrierter Fall-Back-Mechanismus. Dann verbindet sich das Programm mit einer bestimmten Webseite, die von der georgischen Regierung gehostet wird. In Georgien sind 70% der Rechner infiziert, gefolgt von den USA (5.07%), Deutschland (3.88%) und Russland (3.58%).Mehr Informationen finden sich in der ESET-Analyse (englisches PDF).
Weiter zur Startseite
